作者：中国金融认证中心（CFCA）技术专家 李闯

　　编者按：近期，因为快捷支付，二维码支付的风险安全被监管部门关注。官方认为，因支付指令验证方式的安全性尚存质疑，暂停了第三方支付在二维码支付方式上的应用。而近期也有不少消息称用户因为不安全扫码而被偏走网银资金。那么我们该如何认识二维码支付？目前出现的安全隐患又该如何防范？

　　1. 二维码是什么

　　一句话定义二维码：一种快速录入工具！

　　通常所说的二维码的是由日本丰田子公司发明的QR二维码， 如今已经普遍融入到我们的生活当中 ，火车票、名票、广告、防伪以及最近处于风口浪尖的二维码支付，如此繁多令人眼花缭乱的二维码应用形式，究其本质，都只不过是让用户的智能终端快速的录入一段数据，数据可能是一条冗长杂乱的网址，也可能是一段格式良好的联系人信息，甚至是一组看似毫无意义的随机字符。

　　但是鉴于本文探讨的二维码安全主题，我们为这个定义再加上一段修饰语会更为贴切：

　　二维码：一种肉眼无法识别的快速录入工具。

　　2. 二维码风险分析

　　我们为什么要加入这么一段拗口又如此显然的修饰语呢？这是因为正是这条看似无意义的特征，成为如今甚嚣尘上的二维码安全问题的根源。用户无法仅凭肉眼判断二维码的来源，是否经过篡改，甚至无法判断两个二维码是否相同。并且二维码本身为单向信息传递方式，没有处理能力，无法像其他近场通信方式NFC、蓝牙那样进行双向、单向身份验证。

　　可以说即使面对的是一个疑似恶意的二维码，用户能做的也只是拿起手机先扫扫看。然而这一扫的背后，究竟隐藏着多少安全隐患呢？笔者总结了目前的社会案件和理论分析，大致归为三类：

　　木马下载链接：攻击者诱导用户扫描含有手机木马下载链接的二维码，一旦木马下载并安装到用户的手机中，攻击者便可远程控制拦截转发用户的短信，从而极大的威胁到用户的支付、网银账户，这种主要针对Android用户的攻击是目前绝大多数二维码金融欺诈案例的罪魁祸首。

　　钓鱼网站链接：二维码中的网址链接指向攻击者实现准备好的钓鱼页面，窃取用户输入的敏感信息。例如用户通过某支付公司客户端扫描恶意二维码，打开其中的链接后，发现是此支付公司的登陆页，很轻易掉以轻心输入用户名密码，从而导致泄漏。事实上这种攻击并不像那些热衷于技术的极客们认为的那么容易防范！请看图示：

二维码中的网站链接大都为缩短网址，无法分辨真假！

假网址一闪而过，大部分手机浏览器为了节省空间，加载网页后自动隐藏地址栏。用户根本无法辨别！

　　无法防范的XSS漏洞攻击：对于普通用户来说，这种攻击危害极大，且几乎是无法防范的，除非他们不再扫描二维码。不管哪种手机操作系统都存在一些公开和还没公开的漏洞，有些漏洞可被巧妙的利用到二维码欺诈中。

　　比如目前仍有大量用户使用的Android2.3.X系统中存在多个可导致XSS攻击的漏洞，利用这些漏洞攻击者可做到，只要用户扫描恶意二维码后点击链接，手机后台就会下载并安装木马程序，整个过程不会有提醒。这可以通过javascript脚本利用系统漏洞调用INTENT组件再调用应用市场实现。

　　这种攻击目前是比较罕见的，利用漏洞需要一定的技术能力和时间成本，但是笔者认为最主要的原因还是上述的前两种攻击方式目前成功率太高了，如此简单的攻击就能达到目的，攻击者完全没有必要利用更复杂的技术！

　　3. 风险的防范

　　近年来移动领域可谓是爆炸式的增长，移动金融的发展速度更是超出了人们的想象！各种创新的移动金融应用让人目不暇接，但是与此同时，移动安全却显得步履瞒珊，没有跟上整体发展速度。坦白来说，二维码的风险问题只是移动领域整体安全形势不乐观而凸显出的一个典型实例！要缓解这种风险，需要各方的共同努力：

　　对于普通用户:必须要提高警惕，不要扫描来历不明的二维码，打开网页要注意地址栏内的信息是否正确，更不要通过网页下载安装应用，Android用户不要刷来历不明的rom。最重要的是：不要再信任短信认证码了！这种古老的身份认证手段在智能手机时代不再可靠，尽量关闭那些仅需短信认证即可交易的支付功能。

　　对于银行等金融服务商:有责任提供给用户更安全的认证手段，，U盾和二代U盾的普及极大程度上解决了中国的网银安全问题，同样在移动终端我们也需要这种不依赖于用户使用环境的认证手段，即在用户所处的系统环境和网络环境都不可信的情况下任然能保证安全，近期中金国信科技有限公司推出的蓝牙盾产品即提供二代U盾同样的安全功能，即使用户的手机、通信通道全被攻破，只要蓝牙盾还在用户掌握之中，就能保护资金安全，如图：

　　对于整个移动行业:一昧的要求用户提高警惕是一种不负责任的行为，作为从业人员，我们有责任为用户构建更加可信的环境，而不是让用户每次使用方便的技术时都提心吊胆。

　　笔者认为由合适的监管机构或公司牵头成立“可信二维码平台”是一个切实可行的解决二维码风险的方案。结合数字签名技术，可以做到用户每扫描一个二维码即可得知此二维码是由哪个机构生成，并可保证中途未经篡改，同时也可追踪恶意二维码的来源。至于“可信二维码平台”的技术实现，有多种方案可供选择，欢迎有兴趣的同仁来信讨论。

责任编辑：王超