近日(ri),中國消費者協(xie)會(hui)提醒公眾,借助二(er)(er)維(wei)碼(ma)傳播惡意(yi)網址、發布手(shou)機(ji)病毒(du)等不法(fa)活(huo)動開始增(zeng)多。不少消費者在通過掃描二(er)(er)維(wei)碼(ma)參加團購(gou)時�����,由于二(er)(er)維(wei)碼(ma)中含有手(shou)機(ji)病毒(d������u),導致手(shou)機(ji)中毒(du),話費被扣。奇(qi)虎360公司(si)的統計顯示,目前23%的手(shou)機(ji)木(mu)馬及惡意(yi)廣告插件,通過偽裝(zhuang)成二(er)(er)維(wei)碼(ma)的方(fang)式(shi)傳播。
作為物聯網的一項重要技術,二維碼是如何攜帶病毒的?是否應當由特定部門對二維碼內容進行監管,又如何監管?二維碼的安全風險是否會對物聯網發展造成不利影響?
“黑客會將惡意網址或包含手機木馬的下載鏈接直接生成二維碼,放置在網頁、印刷品中傳播,掃描后可自動訪問或開始下載,下載安裝到用戶手機后,聯網接收黑客下發的控制指令,根據指令開始下載軟件、上傳用戶隱私或直接外發短信進行惡意扣費。”奇虎360公司技術人員在接受《中國科學報》采訪時說。
北京靈動快拍信�����息技術有(you)限(xian)公司首(shou)席執行官王鵬飛認為,面(mian�������)對二(er)維碼潛藏的風險,公眾更應謹慎掃碼。
“首先,要看(kan)掃碼(ma)(ma)(ma)軟(ruan)件是否(fou)具(ju)有(you)(you)(you)安全檢測功能。其次(ci),要養成良好的(de)(de)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)使用����習(xi)慣,對來歷(li)不(bu)明的(de)(de)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma),特別是路邊廣(guang)告、電梯內廣(guang)告、廣(guang)告宣(xuan)傳單、不(bu)明網(wang)(wang)站(zhan)的(de)(de)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma),不(bu)要盲目(mu)掃描(miao)。再者,用手機二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)在(zai)線購(gou)物、支付更(geng)要謹慎。”“從本質上看(kan),二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)其實就是一個存儲工(gong)具(ju),和光盤、磁(ci)盤、U盤沒有(you)(you)(you)太(tai)大的(de)(de)區(qu)別,只不(bu)過存儲方式有(you)(you)(you)所不(bu)同。”中(zhong)國電子商(shang)會(hui)物聯(lian)網(wang)(wang)專業委員會(hui)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma������)(ma)專項(xiang)工(gong)作組主任張超表示,二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)具(ju)有(you)(you)(you)“入口”、“身份證”、“票證”等功能,二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)可以(yi)作為上網(wang)(wang)的(de)(de)“入口”,掃碼(ma)(ma)(ma)后就會(hui)連接到(dao)網(wang)(wang)絡獲取(qu)內容信息;作為“身份證”的(de)(de)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)具(ju)有(you)(you)(you)唯一性,多(duo)用于管理應(ying)用,如(ru)防偽、追溯等;作為“票證”的(de)(de)二(er)(er)維(wei)(wei)(wei)(wei)(wei)碼(ma)(ma)(ma)則大多(duo)應(ying)用于線下電子商(shang)務之中(zhong),如(ru)消費購(gou)物憑(ping)證等。
“存在(zai)安全風(feng)險(xian)不是(shi)因為二(er)維碼技(ji)術本身存在(zai)問題,而是(shi)因為"用不好(hao)"。&r�������dquo;張(zhang)超認為,規范化生成(cheng)和(�������he)掃描(miao),是(shi)避免二(er)維碼安全風(feng)險(xian)的關(guan)鍵。
目前,網(wang)絡(luo)上有(you)不(bu)少二維碼(ma)(ma)生(sheng)成(cheng)軟件,公眾可(ke)以(yi)自行(xing)(xing)生(sh�������eng)成(cheng)二維碼(ma)(ma),為(wei)(wei)二維碼(ma)(ma)內容的監(jian)管(guan)和規范(fan)(fan)化帶來了難(nan)度。對此,張超(chao)認(ren)為(wei)(wei),監(jian)管(guan)個人的二維碼(ma)(ma)生(sheng)成(cheng)行(xing)(xing)為(wei)(wei)存在難(nan)度,但(dan)對行(xing)����(xing)業、企業等公共二維碼(ma)(ma)內容的監(jian)管(guan)和規范(fan)(fan)實則不(bu)難(nan)。
“從技術層面完全可以實現。”張超說,二維碼的內容監管就是要找到生成和發布二維碼的源頭,即找到生成二維碼的“IP地址”。但由于二維碼在國內剛剛興起,問題也剛剛暴露,沒有引起管理部門的重視,也沒有采取這樣的監管手段。
張超表示,二維碼(ma)(ma)內容的(de)安全風險和監管(guan)空白(bai),將會對�������個人應用產生一定影響(xiang),如降低用戶掃碼(m������a)(ma)率和參(can)與度(du)等,但并(bing)不會對注(zhu)重行(xing)業應用的(de)物聯網發展(zhan)造成影響(xiang)。
“物聯網的發展需要有統一的規范。二維碼專項工作組正在進行二維碼統一編碼和解析標準的制定工作,成立了國家i-OID注冊中心和國家二維碼解析中心,以推動二維碼行業規范化發展。”張超說。
據張超介紹,今年4月,國家二(er)(er)維碼(ma)(ma)注(zhu)冊平(ping)臺(tai)、解(jie)析(xi)平(ping)臺(tai)將對外(wai)開(kai)放,為(wei)二(er)(er)維碼(ma)(ma)應(ying)用(yong)(yong)的提供者和使用(yong)(yong)者提供公共服(fu)務。平(ping)臺(tai)基于對象標(biao)識(shi)體(ti)系(OID體(ti)系)建(jian)設全國統一(yi)的“二(er)(er)維碼(ma)(m�������a)身份證”體(ti)系(簡(jian)稱i-OID),形(xing)成(cheng)“統一(yi)編碼(ma)(ma)體(ti)系、統一(yi)行(xing)業規范、統一(yi)應(ying)用(yong)(yong)標(biao)準、統一(yi)解(jie)析(xi)體(ti)系”,由注(zhu)冊平(ping)臺(tai)統一(yi)生成(cheng)二(er)(er)維碼(ma)(ma),解(jie)析(xi)平(ping)臺(tai)進行(xing)基礎解(jie)析(xi),假如二(er)(er)維碼(ma)(ma)鏈接到非法(fa)網(wang)站,解(jie)析(xi)平(ping)臺(tai)會直(zhi)接屏(ping)蔽網(wang)站,使二(er)(er)維碼(ma)(ma)無(wu)法(fa)連接。
