】
 

央視披露了二維碼支付的風(fēng)險，但究竟二維碼“藏毒”風(fēng)險出在哪里？如何防范呢？

首先，要找到這個問題的答案，我們必須厘清個概念：
 

1、二維碼里有什么?

      現(xiàn)在二維碼里大致有這樣一些類型的數(shù)據(jù)：長文本、短文本、名片、網(wǎng)址、wifi配置信息、地理位置信息。
 

2、掃一下為什么會“中毒”?

      首先通俗的解釋一下“中毒”的概念。中毒和生病一樣，病毒需要一個生存和發(fā)展的環(huán)境，如果掃碼能中毒，那么環(huán)境是誰?當(dāng)然是掃碼軟件以及掃碼軟件的運行環(huán)境(通常就是手機操作系統(tǒng))了。

現(xiàn)在已知的二維碼“藏毒”大致有以下3種方式：
 

A、釣魚網(wǎng)址，這個嚴格來說不是“病毒”，這種可以歸類為需要用戶交互才能得逞的病毒。這種最常見！

      屬于社會工程學(xué)威脅范疇，用戶只需稍有安全意識則能有效避免被騙上當(dāng)。在手機上，打開一個網(wǎng)址本身在大多數(shù)情況下是安全的，但危險在于停留在這個打開的網(wǎng)站上，用戶干了些什么。用戶自己主動輸入信用卡號、安全碼，用戶自己主動輸入支付寶用戶帳號。。。另外，網(wǎng)址并不等于網(wǎng)站入口。比如，有一類特殊的網(wǎng)址，叫做偽協(xié)議地址，這個也有想象力空間(但似乎沒見到攻擊案例)，例如sms://、tel://等等，這些點擊之后，在不同的系統(tǒng)上有可能會打開不同的應(yīng)用程序，例如發(fā)短信、打電話等等。
 

B、惡意代碼直接攻擊瀏覽器解釋引擎，這種可以歸類為無需用戶交互即可實現(xiàn)“感染”的病毒。

      造成內(nèi)存破壞類攻擊，直接獲得原生應(yīng)用程序級別的任意代碼執(zhí)行甚至是提升權(quán)限。這種問題發(fā)生的概率要遠遠小于PC端瀏覽器遭受同類型攻擊的概率。主要原因是：大多數(shù)攻擊程序是需要一定“行數(shù)”的代碼組成的，而二維碼的承載數(shù)據(jù)能力又是受限制于圖片編碼的容量極限的。簡單理解就是：復(fù)雜攻擊需要更多行數(shù)的代碼，較少行數(shù)的代碼只能實現(xiàn)較簡單的“攻擊”，二維碼由于自身設(shè)計的“缺陷”，無法提供惡意代碼存儲所必要的足夠空間，故攻擊想象空間和影響效果有限。
 

C、自定義的二維碼自動應(yīng)用，這種可以歸類為無需用戶交互即可實現(xiàn)“感染”的病毒。

       雖然二維碼本身承載的其實就只是普通文本數(shù)據(jù)(數(shù)字、字符啥的)，但有些軟件給這些數(shù)據(jù)定義了一些自己的解析規(guī)則，目的是實現(xiàn)掃碼后自動XXX或自動YYY。壞就壞在這個自動化的過程，給了數(shù)據(jù)一秒變病毒的機會。如何理解?參考Web安全里的SQL注入、XSS等，就是最典型的數(shù)據(jù)一秒變病毒的參考案例。
 

3、如何防范應(yīng)對呢？
 

A、掃碼軟件廠商向掃碼用戶告警，并取消點擊交互行為的支持。
       在提供基于二維碼的新應(yīng)用時，要安全的設(shè)計和實現(xiàn)二維碼識別后內(nèi)容的解析引擎，對網(wǎng)址的識別可以集成第三方安全廠商提供的URL黑名單查詢服務(wù)，對已知惡意網(wǎng)址提前向掃碼用戶告警，并取消點擊交互行為的支持。另外，掃碼軟件可以提供一個牛逼閃閃的安全模式(其實就是純文本模式啦)，讓有安全意識和能力的用戶可以先看看是什么，再決定下一步如何解析、是否允許軟件自動化做XXX或自動化YYY。當(dāng)然了，做產(chǎn)品，還可以在用戶體驗層面再智能一些，讓用戶可以更傻瓜一些點【下一步】。
 

B、用戶要做到，一要選擇知名的二維碼掃描軟件，二要避免打開陌生和奇怪的網(wǎng)址。
 

C、安全廠商集成惡意網(wǎng)址識別引擎，先消毒。
       還和現(xiàn)在一樣，該干嘛干嘛，多給掃碼軟件廠商做做推廣，集成你們的惡意網(wǎng)址識別引擎吧。再牛逼一點，云掃碼吧，所有二維碼里的數(shù)據(jù)，你們先在云端看看，不良內(nèi)容給消消毒就是了。