2012年上半年查杀到手机恶意软件17676款,而其中二维码技术成为手机病毒、钓鱼网站传播的新渠道。 ——《2012年上半年全球手机安全报告》
什么是二维码
二维码又称二维条码,是一个近几年来移动设备上超流行的一种编码方式,它除了比传统的Bar Code条形码能存更多的信息,还拥有以下几种特点,使其可以得到迅速的发展。
1.高密度编码,信息容量大:可容纳多达1850个大写字母或2710个数字或1108个字节,或500多个汉字,比普通条码信息容量约高几十倍。
2.编码范围广:该条码可以把图片、声音、文字、签字、指纹等可以数字化的信息进行编码,用条码表示出来;可以表示多种语言文字;可表示图像数据。
3.容错能力强,具有纠错功能:这使得二维条码因穿孔、污损等引起局部损坏时,照样可以正确得到识读,损毁面积达30%仍可恢复信息。
4.译码可靠性高:它比普通条码译码错误率百万分之二要低得多,误码率不超过千万分之一。
5.可引入加密措施:保密性、防伪性好。
初
二维码的发展或许在初期得以顺利的进行,然而其遇到的困难也随之而来。
2013年1月15日深夜,腾讯微信团队在微博上宣布微信用户数突破3亿,成为全球下载量和用户量最多的通信软件,同年3月,阿里巴巴和腾讯两家公司宣布联推出“网络虚拟信用卡“,但其运用的线下条码(二维码)支付突破了传统手机终端的业务模式,那时在落实客户身份识别义务、保障客户信息安全等方面与央行既有的监管规则不配套,存在一定风险隐患。这便成了翌日央行下发紧急文件叫停支付宝、腾讯的虚拟信用卡产品,以及条码(二维码)支付等面对面支付服务的可能原因之一。
除此之外,在该时间段,北京市公安局官方微博“平安北京”发布提示称,病毒制造者可以把带有病毒或恶意网址的下载地址链接进二维码的图片里,带有病毒的二维码链接会扣费、监控并盗取用户隐私。手机管家也曾截获过名为“盗信僵尸”的手机病毒就被放到二维码中传播,该病毒可将中毒手机变成“肉鸡”,私自发送短信注册淘宝帐号,同时可以拦截屏蔽自动回复系列支付确认短信,盗取手机支付确认验证码,窃取手机用户资费,威胁用户账户余额。
而这,虽说对二维码的发展造成一定的冲击,但其发展从未停下来。
发展
"二维码是线上线下的一个关键入口" ——马化腾
2014年8月28日,微信支付正式公布“微信智慧生活“全行业解决方案。具体体现在以微信公众号+微信支付为基础,帮助传统行业将原有商业模式“移植”到微信平台。那时的微信正在形成一个全新的“智慧型”生活方式。其已经渗透进入以下传统行业,如微信打车、微信交电费、微信购物、微信医疗、等。为医疗、零售、百货、餐饮、票务、快递、高校、电商、民生等数十个行业提供标准解决方案.。
而到了2016年第二季度,微信已经覆盖中国 94% 以上的智能手机,月活跃用户达到 8.06亿。足够多的用户群,再结合良好的商业模式,二维码成为了桥接现实与虚拟最得力的工具之一。
同年8月,支付清算协会向支付机构下发《条码支付业务规范》(征求意见稿),意见稿中明确指出支付机构开展条码业务需要遵循的安全标准。这是央行在2014年叫停二维码支付以后首次官方承认二维码支付地位。
2018年2月,微信全球用户月活数首次突破10亿大关。
商业带动生活,生活制造商业,二维码彻底走进了人们的生活,不过其病毒,却从未消失。
病毒
二维码病毒的生成却与普通二维码的生成一样,只要找到一个平台,将有毒的链接,放在生成平台里,然后生成二维码图片,便可制作成功。
通常来讲,指向有毒软件或者恶意网站的链接的二维码病毒,严格来说不是“病毒”,属于社会工程学威胁范畴,用户只需稍有安全意识则能有效避免被骗上当。然而,这其中却有一类特殊的病毒网址,叫做伪协议地址。这些点击之后,在不同的系统上有可能会打开不同的应用程序,例如发短信、打电话等等。(现在的手机基本都可以设置权限)
除了指向链接的,还有HTML/JS混合代码类型的二维码病毒,这是利用很多二维码软件提供了所谓的智能内容感知和识别,调用了自身的解析规则或浏览器解释引擎去承载和处理这些代码,给了数据一秒变病毒的机会。但,就目前来说,在绝大多数情况下对用户造成的影响也很有限。极少数情况,可能会发生在恶意代码直接攻击浏览器解释引擎,造成内存破坏类攻击,直接获得原生应用程序级别的任意代码执行甚至是提升权限。这种问题发生的概率也很小。主要在于大多数攻击程序是需要一定“行数”的代码组成的,而二维码的承载数据能力又是受限制于图片编码的容量极限的。简单理解就是:复杂攻击需要更多行数的代码,较少行数的代码只能实现较简单的“攻击”,
尾语
二维码有没有病毒在扫描之前一般都不会看出来的。
然而,一昧的逃避是没有用的,什么时候能实现对二维码的“精准识别“呢,或许一个拦截规则,或许一个类似于沙箱的空间。或许……当然,我指的的是微信上“扫一扫”这个功能,毕竟小编可是一个正宗的微信“刷码族”