小学美术本上竟然印有涉黄二维码,而印刷厂的解释是:可能是黑客入侵所致。近日,发生在一些学校的稀奇事,经媒体报道后,引发社会广泛关注。
移动互联网的快速发展带动了二维码在日常生活中的应用和普及。如今,“扫一扫”已经成为很多人的日常习惯。黑白相间的二维码从外表上看几乎一模一样,很难区分开来。而这里可能隐藏什么安全漏洞?怎样杜绝?7月中旬,记者采访了相关专家。
二维码安全隐患不容忽视
针对小学美术本上的涉黄二维码,奇安信行业安全研究中心主任裴智勇表示,近两年,出版物上二维码被发现涉黄赌毒等违法信息的情况时有所见。通常情况下,这并非出版社疏于审核所致,而是因为对扫码的网站信息没有进行“永久性”维护。“传统出版物与二维码等网络资源相结合,是一种适应市场的趋势,也广受读者欢迎,但其中出现的运营和监管漏洞也值得重视。”
本质上,二维码只是使用特定的几何图形对相关内容进行展示,制码技术几乎“零门槛”。相比传统条码,二维码可以容纳更多信息,生成流畅的数据流。利用网上的二维码生成器,就能把任意网址转换成二维码,供用户扫码访问。不过,很多人在享受二维码带来的便利的同时,很容易忽略暗藏其中的安全隐患。而且,看似简单的二维码,普通公众也往往难以辨认真伪,这令不法分子有了可乘之机。
裴智勇几年前曾断言,未来二维码可能成为个人信息安全和通信诈骗新的高发区。事实佐证了这一判断。涉黄的美术本、伪造的缴费通知……近年来,一些不法分子频频在二维码上“动手脚”,导致部分公众无法分辨而“中招”。
生成和识别环节风险突出
二维码出现安全问题,主要的风险点在哪?
“二维码出现安全问题,最大的可能是使用者在生成二维码时使用了错误的链接,问题一般出在源头。”浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林指出,生成环节是二维码比较集中的风险点之一。二维码出现问题,要么在生成时就是一个错误的链接指向,要么是原来对应的二维码链接被篡改或掉包。
这种情况下,毫无戒心的用户扫描“问题二维码”后,就可能被引到钓鱼网站。轻则泄露个人隐私,重则损失钱财,让人防不胜防。
“识别环节也是维护二维码安全的关键环节之一。”裴智勇说,目前很多支付、社交软件以及手机浏览器都内置了扫码功能,但很多扫码工具缺乏安全监控和识别能力,难以判断出“问题二维码”。究其原因,这与二维码使用企业缺乏网络安全意识和防护能力密不可分。
目前,我国二维码的码制虽有国家标准,但在应用上还没有相应的规范。特别是在生成和识别环节上,安全软肋显而易见。
“问题二维码”凸显的监管缺位,亟须引起社会的高度重视。
需持续维护和全过程管理
根据国家互联网信息办公室发布的《数字中国发展报告(2022年)》,2022年我国网民规模达10.67亿,互联网普及率达75.6%。这也意味着,我国已经成了名副其实的二维码大国,拥有广泛的二维码应用场景和庞大的用户规模。
业内人士预计,未来中国二维码产业规模有望达到万亿级别。这将对“问题二维码”的监管提出更高要求。
“管理二维码的难点在于对二维码的持续管理和异常点追踪,因为二维码往往是外部链接,大多数二维码生成之后,缺乏持续跟进管理。”在盘和林看来,二维码需要持续维护和全过程管理。“包括二维码生成、适用范围、管理和维护、安全保障体系、效果评估和优化等,都要采取措施,以提高安全性。”
裴智勇则建议对二维码进行专门的备案制,要求二维码运营主体对二维码备注有效期,并对相关网络资源进行有效维护,一旦发生问题,可以依据网络安全法追究运营主体的法律责任。
值得一提的是,目前,我国广泛应用的二维码是日本研制的快速响应码。我们对此类二维码缺乏严格的管理标准,这在一定程度上导致我国在二维码应用上安全漏洞频出。二维码标准的建设任重道远。
奇安信董事长齐向东认为,数智时代,网络安全“易攻难守”将成为常态化趋势,解决网络安全问题,不能光靠网络安全部门,而是要用内生安全的方法,投入更多的资金预算和网络防护人才力量。
文/顾野灵 何星辉
编辑/倪家宁