“扫一扫”暗藏风险二维码监管应“加码”

  小学美术本上竟然印有涉黄二维码,而印刷厂的解释是:可能是黑客入侵所致。近日,发生在一些学校的稀奇事,经新闻媒体报道后,引发社会广泛关注。

  移动互联网的加快速度进行发展带动了二维码在日常生活中的应用和普及。如今,“扫一扫”慢慢的变成了很多人的日常习惯。黑白相间的二维码从外表上看几乎一模一样,很难区分开来。而这里可能隐藏什么安全漏洞?怎样杜绝?7月中旬,记者正常采访了相关专家。

  针对小学美术本上的涉黄二维码,奇安信行业安全研究中心主任裴智勇表示,近两年,出版物上二维码被发现涉黄赌毒等违法信息的情况时有所见。通常情况下,这并非出版社疏于审核所致,而是因为对扫码的网站信息不进行“永久性”维护。“传统出版物与二维码等网络资源相结合,是一种适应市场的趋势,也广受读者欢迎,但其中出现的运营和监管漏洞也值得重视。”

  本质上,二维码只是使用特定的几何图形对相关联的内容进行展示,制码技术几乎“零门槛”。相比传统条码,二维码可以容纳更多详细的信息,生成流畅的数据流。利用网上的二维码生成器,就能把任意网址转换成二维码,供用户扫码访问。不过,很多人在享受二维码带来的便利的同时,很容易忽略暗藏其中的安全风险隐患。而且,看似简单的二维码,普通公众也往往难以辨认真伪,这令不法分子有了可乘之机。

  裴智勇几年前曾断言,未来二维码有几率会成为个人隐私信息安全和通信诈骗新的高发区。事实佐证了这一判断。涉黄的美术本、伪造的缴费通知……近年来,一些不法分子频频在二维码上“动手脚”,导致部分公众无法分辨而“中招”。

  “二维码出现安全问题,最大的可能是使用者在生成二维码时使用了错误的链接,问题一般出在源头。”浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林指出,生成环节是二维码比较集中的风险点之一。二维码出现一些明显的异常问题,要么在生成时就是一个错误的链接指向,要么是原来对应的二维码链接被篡改或掉包。

  这种情况下,毫无戒心的用户扫描“问题二维码”后,就可能被引到钓鱼网站。轻则泄露个人隐私,重则损失钱财,让人防不胜防。

  “识别环节也是维护二维码安全的关键环节之一。”裴智勇说,目前很多支付、社交软件以及手机浏览器都内置了扫码功能,但很多扫码工具缺乏安全监控和识别能力,难以判断出“问题二维码”。究其原因,这与二维码使用企业缺乏网络安全意识和防护能力密不可分。

  目前,我国二维码的码制虽有国家标准,但在应用上还没有相应的规范。尤其是在生成和识别环节上,安全软肋显而易见。

  根据国家互联网信息办公室发布的《数字中国发展报告(2022年)》,2022年我国网民规模达10.67亿,互联网普及率达75.6%。这也代表着,我国已经成了名副其实的二维码大国,拥有广泛的二维码应用场景和庞大的用户规模。

  业内人士预计,未来中国二维码产业规模有望达到万亿级别。这将对“问题二维码”的监管提出更高要求。

  “管理二维码的难点在于对二维码的持续管理和异常点追踪,因为二维码往往是外部链接,大多数二维码生成之后,缺乏持续跟进管理。”在盘和林看来,二维码需要持续维护和全过程管理。“包括二维码生成、适合使用的范围、管理和维护、安全保障体系、效果评估和优化等,都要采取一定的措施,以提高安全性。”

  裴智勇则建议对二维码进行专门的备案制,要求二维码运营主体对二维码备注有效期,并对相关网络资源进行相对有效维护,若发生问题,可以依据网络安全法追究运营主体的法律责任。

  值得一提的是,目前,我国大范围的应用的二维码是日本研制的快速响应码。我们对此类二维码缺乏严格的管理标准,这在某些特定的程度上导致我国在二维码应用上安全漏洞频出。二维码标准的建设任重道远。

  奇安信董事长齐向东认为,数智时代,网络安全“易攻难守”将成为常态化趋势,解决网络安全问题,不能光靠网络安全部门,而是要用内生安全的方法,投入更多的资金预算和网络防护人才力量。

  封面新闻丨见证“文化+科技”产业新赛道——第二十届深圳文博会亮点频现精彩纷呈