走近科学:二维码真的安全吗

二维码自普及以来,无论是从它的便捷性,还是其安全问题,一直都是公众关注的焦点问题。“码”时代来势迅猛,不可阻挡,似乎一夜之间,二维码即遍布各电商平台、商场、网站、杂志、甚至车票上,二维码迅速成为移动互联网时代的新宠儿。

与此同时,借助二维码进行传播的手机病毒、恶意程序也日益增加,由于二维码技术已经相对成熟,普通用户即可通过网上的二维码转换软件,任意合成二维码,并且从外观上并不能判断其安全性,这就更加方便了黑客针对二维码进行各种非法操作,用户一旦扫描了嵌入病毒链接的二维码,其个人信息、银行账号、密码等就可能完全暴露在黑客面前,酿成的后果可想而知。而随着2014年三月份央行紧急叫停二维码支付,二维码的安全问题被推向高潮。

下面结合笔者对几个金融类手机客户端中关于二维码功能的安全性分析,来看一下二维码支付存在的典型安全漏洞。

(一)某著名股份制银行二维码漏洞

该银行中关于二维码的功能有两处,一处是扫一扫功能,另一处是我要收款中的二维码功能。如下图所示(左:扫一扫功能;右:我要收款功能)

下面从这两方面对二维码安全展开分析:

1、扫码分析:

扫码逻辑暴露后,扫码劫持变得非常简单,黑客可以在用户进行扫描付款的客户端中插入恶意代码,进行交易数据篡改,使本该流向商户的资金流向黑客。扫码攻击如下图所示:

2、我要收款

虽然该银行对收款的二维码存储的信息进行了加密,但还是不够安全,仍然存在一定的安全隐患,黑客可以利用二维码的特性和该APK的其他漏洞,进行一些非法的活动,下图模拟了该应用可能存在的安全隐患。

(二)支付宝付款码

支付宝钱包做了两种付款码,条形码和二维码,下面对二维码的生成逻辑进行了简单的分析。

支付宝付款码存在的安全漏洞如下所示:

(三)某大行扫码威胁

该银行手机客户端获取二维码有两种方式,一是从手机相册中获取二维码图片;二是进行扫码获取二维码信息。

该银行手机客户端扫码安全漏洞如下图所示:

二维码作为登录凭证、流量入口、身份凭证、支付凭证等,在日常生活中的应用比比皆是,其漏洞问题也远不止以上阐述的这些,而这些安全问题一天不得到解决,我们的隐私安全、财产安全等就一天得不到可靠保证,随时都要担心自己的账号是否“被”登录?手机银行绑定的银行卡是否被黑客攻击等等。

因此,如何为二维码安全打造一套可靠的解决方案,让二维码支付在安全的环境下恢复使用,是当下亟待解决的重要问题。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-08-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

Android漏洞让BYOD安全问题更加突出

Android设备中的“Fake ID”漏洞允许恶意应用程序伪装成可信任的程序,使机密数据面临风险,同时加剧了BYOD安全问题。谷歌Android的...

2908
来自专栏域名资讯

Publica公司以7.5万美金买下域名publica.com

今年1月初,一枚英文域名publica.com以7.5万美金,约48.6万元的价格交易。

2076
来自专栏安恒信息

微软报告称Windows 7和Vista比XP更易遭到攻击

据报道,微软发布的2013年下半年度《安全情报报告》(SIR:Security Intelligence Report)显示,Windows...

2565
来自专栏企鹅号快讯

Skygofree:卡巴斯基称其为史上功能最强大的Android间谍软件

“用指尖改变世界” ? 被称为Skygofree的Android间谍软件是专为有针对性的监控而设计的,据俄罗斯网络安全公司卡巴斯基实验室发布的一份报告描述,在过...

2116
来自专栏小文博客

0元撸斐讯路由器,谁赚谁亏?

2174
来自专栏FreeBuf

欧洲信用卡终端机仍存在严重漏洞

当美国准备转向使用“芯片和密码”模型的信用卡交易时,欧洲还在开心的使用传统的更加安全的人工方式进行交易。但是,欧洲现在的信用卡交易方式出现问题是迟早的事。 摘...

1998
来自专栏黑白安全

只需4步 入侵网吧摄像头

首先扫描一下192.168.0.1到192.168.0.255的段子 看一下是否开放8080端口!

1512
来自专栏V站

SEO丨网站内容多少与收录多少PY关系分析

简单明了,直接从个人建站经历即可得知,当我们第一次接触网站的时候,百度搜索自己的网站,是空荡荡的一片,文章积累到一定程度时,一段时间停止更新后,收录量会上一个层...

1783
来自专栏FreeBuf

Android病毒CopyCat已经感染全球1400万台设备,幕后推手又是中国广告公司?

新发现的恶意程序已经感染了超过1400万Android设备,在短短两个月内已经获取了150万美元的收入。 这款恶意软件名为CopyCat,它能够对感染的设备进行...

3444
来自专栏疯狂的小程序

微信小游戏的技术要点讲解

微信小程序最近新上线了小游戏类目,今天我们就一起来看看这个小游戏到底是什么东西。

3118

扫码关注云+社区