随处可见的二维码,潜藏着什么?
ASRC 研究中心主任 高铭钟

如果你常上超级市场购物,你应该有见过早期的一维条形码,它多半贴在商品上,扫描前需直线对准扫描仪才能识别该商品的信息,扫半天扫不到数据改用手动输入也是常见的事,因为一维条形码没有「定位点」和「容错机制」,所以扫瞄时对不准或条形码污损,即会影响条形码被扫瞄或判读的结果。二维条形码的发明改善了判读的问题,在多种的二维条形码中,又以二维码最为泛用。

二维码全名为Quick Response Code,意指快速响应矩阵码,它除了有二维条形码易于扫瞄读取的特性外,也比普通条形码可以储存更多数据,并在污损面积未到30%时仍可被读取,非常适合用于运输外箱、户外广告牌上,并且,产生一个二维码成本相当低廉,只需要一个编码程序即可!二维条形码的扫描机制不需要专用的扫描仪,只需要能自动对焦的相机搭配专用软件即可进行辨识,一般智能型手机几乎都有扫描二维条形码的能力,因此二维条形码广泛被用于储存商品额外的信息,不必再印制过多的介绍文宣;当介绍数据量相当大时,也可作为储存介绍网址的媒介,只需要用手机上的相机对焦辨识后,即可前往商品相关网址,省去费心记忆及输入网址的烦琐步骤。但是,这样的方便性却也可能带来额外的信息安全风险。

二维码是以图片形式记录文字数据,若恶意网址或恶意代码被编码为二维码,它即成为图片格式,无法以肉眼或文字扫瞄进行初步识别。若将之藏于电子邮件中进行攻击,或夹于网络广告中,伪装为网站内容的一部份,即非常容易躲过各种信息安全扫瞄侦测。自2011年开始,即有许多国内外信息安全公司接获二维码编码攻击的案例。

现今的智能型手机多半都具备二维码的辨识能力,所以智能型手机自然而然的成为了二维码编码攻击的主要目标,未来若穿戴式科技普及,如:Google眼镜,或许也会沦为被攻击的目标。二维码编码如何攻击二维码的辨识装置?比方:

  1. 指令注入:攻击有漏洞的二维码辨识软件。
  2. SQL 注入:通过数据库查询语法,攻击有漏洞的二维码辨识程序。
  3. 浏览器漏洞或跨站攻击:以恶意网址的方式,攻击手机浏览器。

当然,针对辨识装置的持有人进行社交攻击,或许技术性的难度更低!比方:

  1. 网络钓鱼:扫瞄二维码后导向钓鱼网站,骗取登入的账号密码。
  2. 网络诈骗:扫瞄二维码后显示诈骗内容,让受害者依指示行动。
  3. 恶意软件传播:扫瞄二维码后自动或指引受害者手动下载恶意软件。

安全性与便利性的取舍,一向是各种安全工作常见的两难议题,二维码的应用也不例外!二维码具备各种优点,在不因噎废食的前提下,我们只需要在日常使用上采取相关的保护工作,即可安心享受二维码带来的便利性:

  1. 使用安全的二维码辨识软件,并定时更新。
  2. 启用二维码网址预览功能,而不要在辨识自动开启网址。
  3. 扫瞄二维码前先看清楚,识别二维码来源,以及扫瞄标的,务必确认该二维码无疑虑,也不是广告所提供,再进行扫瞄。
  4. 搭配网关端上网管理机制,在操作失误连往恶意网址前,可由上网管理机制进行阻断。

二维码的使用一直在演化,过去的使用方式多半是由服务提供商产生二维码,被服务商辨识后取得信息;现在则开始出现由服务商产生二维码,被服务商带着这个二维码到服务商提供的专属机器进行身份识别或进行其它验证,通常这样的专属机器都是较大型的,比方:搭乘高铁的二维码通关辨识。这样便利的应用演化也将带来更多的安全疑虑:服务商所产生二维码内容有没有可能被猜出产生规则,而用于制造假的验证?专用机器是否可能被攻击或植入木马?可能造成的危害规模?恐怖都是准备提供二维码应用的服务商需要先期考虑的问题。

虽然目前ASRC还未侦测到携带威胁性的二维码,但这个小小黑白格确实很容易潜藏隐形攻击,而相对需要高安全性的企业邮件安全防护,可以利用SPAM SQR等威胁防御网关进行多重扫描侦测,提高企业级安全等级。

回到列表