信息安全结课论文

1、页脚i A a 4 号SHENYANG AEROSPACE UN I VERS ITY浅谈二维码安全问题学院 经济与管理学院专业信息管理与信息系统姓名文书禹班级 34080201学号2013040802020二O六年十月引言: 近几年，各大互联网企业逐步认识到了二维码的重要性， 纷纷引入了 二维码的宣传方式，报纸、刊物、团购优惠、产品促销，甚至网上的 视频媒体也采用二维码实现与用户交互！ 不仅如此，二维码还出现在 广告牌以及商品的包装盒上，出现在火车票等各种票务凭证上， 出现 在餐饮等各种消费场所！真可谓是无处不在，二维码正在悄悄地改变 着人们的生活方式，引领着一种时尚潮流！现在只需用手机扫描

2、一下 促销商品的二维码，就能方便地到商家的官方，查看到更为详细的信 息！在新闻报道上扫描二维码，可以查阅报道的相关图片 视频等更 详细的容！二维码给我们的生活带来便捷的同时， 其潜在风险也越来 越大，如钓鱼手机病毒恶意程序等正在通过二维码进行四处传播！ 与此同时，借助二维码进行传播的手机病毒、恶意程序也日益增加， 由于二维码技术已经相对成熟，普通用户即可通过网上的二维码转换 软件，任意合成二维码，并且从外观上并不能判断其安全性，这就更 加方便了黑客针对二维码进行各种非法操作，用户一旦扫描了嵌入病 毒的二维码，其个人信息、银行账号、密码等就可能完全暴露在黑客 面前，酿成的后果可想而知。而随着 2

3、014年三月份央行紧急叫停二 维码支付，二维码的安全问题被推向高潮。二维码的研究现状国外对二维码技术的研究始于20世纪80年代末.在二维码符号表 示技术研究方面，已经提出了多种码制，常见的有表示技术研究方面，已经提出了多种码制，常见的有表示技术研究 放面，已经提出了多种码制，常见的有PnF417,QReode,Codc49,e-ode16K,DataMatrix 等这些二维条码的密 度都比传统的一维条码有了较大的提高在二维码标准化研究方面，国 际自动识别制造商协会（AIM），美国标准化协会（ANSI）己经完成PnF417,QReode,Codc49,e-ode16K,DataMatrix 码制

4、的符号 t/J。国际 电工委员会第1联合委员会的第31分委员会，即条码自动识别技术委 （150/IEC/JTCI/SC31）起 pDF417,Code16K,DataMatrix,Maxieode 等二 维码的150/IEC标准一草案。一、手机二维码的应用二维码在公共交通、企业营销、物流管理、食品追溯等传统行业已得到了广泛应用，热门的是二维码与0T0模式的结合， 借助移动互联网这一存储、传播、处理的新通道，二维码推进了线上与线下的互动，如社交服务、电子凭证、购物支付等等2。按照实现原理，手机二维码的应用可以分成三类模式：（1）解码上网/通信 根据容来划分，二维码的解码结果可以是URL、SMS、

5、邮件、文本信息等。如果是URL，手机会调用浏览器直 接打开该，用户可以进行 数据浏览或下载，如打开商品、下载优惠券、信息查询等。如果是sms： /或tel: /开头的容，手机会直接打开短信功能或进行拨号， 具体操作取决于二维码解 析规则的编写。（2）数据识读 火车票就将二维码作为乘客信息的载体，初的二维码采用明文存储信息，为了避免不法分子恶意利用信息，目前已经对数据进行了加密。很多商家采用二维码作为电子名片、会员卡的载体。用户的信息被存储在二维码中，商家用识读软件扫描后信息 直接推送到服务器中，服 务器终端数据会实时进行更新，整个过 程省去了人工录入环节，增 大了信息容量，实现了电子数据的快

6、速交换和实时更新。（3）解码验证 在电子票务、电子回执、手机支付等应用服务中，用户通过 手 机二维码就能证明自己的自然身份、通讯身份或交易身份，这种模式突破了传统受理终端的业务模式。用户通过扫描支付二维码实现手机的下单和支付过程，商家通过专用识读设备读取身份信息来完成验证过程，实现了用户自助化。二、手机二维码的安全问题作为一种信息载体，二维码本身并不含有病毒。许多不法分子只 是借助二维码作为一种工具来广泛实施恶意行为，严重危害 用户的 利益和隐私。目前手机二维码的安全问题主要存在以下几 方面：（1）恶意的容 目前，大多数二维码承载的容是一个URL,而现在的扫描 软件往往不会对的安全性进行检测，

7、恶意往往指向挂马、钓鱼、恶意软件安装等。用户点击带有流氓插件的后，木马或恶意软件会被浏览器自动下载到本地。有的链 接对于An droid系统是直 接定位APK下载，对于IOS系统则指向App Store应用页面，用 户一旦点击安装，手机就会感染木马。 这类攻击严格上不算是病毒， 应该属于社会工程学畴，用户往 往因为疏于防而中招。（2）生成和传输环节存在漏洞 二维码，尤其是进行身份认证的，在生成和传 输过程中常常 存在被拦截和篡改的可能，不法分子可能伪造钓鱼的 二 维码，诱导用户扫码，导致信息泄露。以二维码支付为例，黑客可以利用二维码的编码特性和 APK的其他漏洞，拦截客户端发出的 付款二维码进

8、行恶意篡改，或者 在扫描付款的客户端中插入恶意代 码，通过在用户扫码交易时篡 改数据，使资金流向黑客的账户里。 另外，用户在使用二维码登 录电脑终端的账号时，可能存在服务端 的校验无法解决客户端屏 幕劫持等问题，黑客也可能通过二次打包、 跨站请求伪造攻击、An droid Hook等方式劫持用户客户端数据，导 致用户信息被盗。（3）智能终端安全性低 由于硬软件方面存在局限性，手机不能像电脑一样安装功能 全面的安全软件，手机环境的 复杂性使其面临着多种潜在的安全威胁，比如手机病毒、木马插件 等，这些威胁会利用系统或软件存在的漏洞来实现远程控制或恶意 破坏的目的。 以浏览器为例，针对带有网址的二维

9、码，软件在扫码 时会调用浏览器的解释引擎，如果浏览器存在缓冲区溢出漏洞， 恶意 分子就可能针对这些漏洞编写特定的URL,植入恶意的HTML/JS代码，以获得系统root权限。（4）身份认证机制不够通信安全的 关键问题是手机用户的身份认证过程。网上银行 可以利用数字签名、 SSL UBS key等手段来保护账户的安全性 以及数据的完整性、保密 性和不可否认性，但是手机终端的运行 能力和存储空间与电脑终端 不同，复杂的认证过程并不适用于网络环境。目前的手机支付终端在完成二维码扫描后，一般只要求 输入支付密码或者短信验证码，甚至可以通过短信重置密码，这种支付过程的验证方式过于单一， 存 在短信劫持、

10、篡改密码等问 题。（5）开源类库二维码解析程序中 往往需要引用开源类库，如 Google的Zxing，这些类库有可能被不 法分子利用，因为可执行文件的输 入表只提供了动态库的名称，没 有其它详细信息，当黑客通 过不法手段劫持或替换正常的 so文件, 或者替换原有的 API地址为自己的so中API地址，病毒木马就 可以随着文档的打开而加载自身。如果软件装载动态库以及可执行文 件的方式存在 问题，黑客可以利用该漏洞在应用程序搜索的一个目 录中植入伪 装的恶意软件，当应用程序查找.so、.apk文件时，就可 能启动恶 意程序。（6）标准规不一目前，我国主要采用国外的码 制，如QR码及DM码，还有 汉

11、信码等多种国产码制，码制的不 统一造成了二维码生成和解析的多样化。对于不同编码格式或者经 过加密的二维码，用户手机 在进行解码时可能出现问题。另外，虽 然二维码本身承载的数据 是安全的，但是有些软件却有一套自己的 解析规则，只要使用该 软件进行扫码就会自动执行指定功能。这个 自动的执行过程，使 得安全数据立刻变成恶意信息，例如，无论用 户输入什么信息，生成的二维码容都是一个恶意网址。以下通过具体实例及图片来简明阐述手机二维码问题逻辑之间的流程：闵甲支忖宝BL隊下放啟皿付抵环书 雄上二丁甕厳aHiH *tfft08tu 央特？its 英林宝.牌讯二憾码査 忖諄面对面芟付躍务豪可耙n琴-品 wsR

12、fw&xta 圧一痔二涉科.丼印 暮各种擢簸，9. 广書、 炭序二维码支付-WITH户禅代无Ift靈忖片锻信方面 5020的业务 如和车.讯与 点評合作的闻競 支时轟业養支付宝方面 知快的抒辜SWS（一）某著名股份制银行二维码漏洞该银行中关于二维码的功能有两处，一处是扫一扫功能，另一处是我要收款中的二维码功能。如下图所示（左：扫一扫功能；右：我要收款功能）g电羸些0wn mw iiia jF面从这两方面对二维码安全展开分析:1、扫码分析:Q r CodeScanAct i w ii t/. java1 r w lx Ui MFQd .lndH3tr irg a aJ)扫码逻辑暴露后，扫码劫持变

13、得非常简单，黑客可以在用户进行扫描付款的客户端中插入恶意代码， 进行交易数据篡改，使本该流向 商户的资金流向黑客。2、我要收款收敦人信息可祉篡授I1 MW MJ1. AtfRANKCm i *h代码如下:-UMrrPt -.&(thLTJl.gHtT#?iCi，CQStrlng( J);:t(tUV.A)j#1 rputf7.*(t(-ircv*C0-t vijselw ( npiM广|RCVJMXHg9crvpL. 4b.t(thl* rj)* j|.pt(apvwwa. ABbbithit-uj!j：*_1 -p*t( WC.MILI*P ACl.QfKhlli)；9丄戶广#TTV*C .

14、 J JrqKOMTTK-* W；gHhui泗wcmR心.計二 1*|曲厦|!口贏汕 *_i.tfrStriAQU；上q二Ktl卜S： * v /t#5trlng();J* * ir($CrliuQLJt 115.lsMocBlank(thl.eFJi Lt dlB*i 9-Prt4vO14kl0|)；Lf(|lM.gvlVXsJLBlljXf() ) (thlt.HK(融夜剧新Gf.DfynMlEldR#)vfl I nw GtDrjulel()4*ai u*vk j frftf 上*吟6ti!rniAiciaR$ 時 2 BarcodFivMt 1 v 1 9c + 0cEhmucIc(*

15、e I);河汗i育.urrntTiBoMilll();，-Crt4tv41CU(v79 vlld HUZ 心T AGJ9 MM 3TTjO- TsTTOM(沁牛上 *叭*7.“町：-巳小:叭“ .Cr.) 1 ivrgx 1 *(St 甲*?( fwrr in jiftur-4 Arglfl);g I iHMrtvS- 1 - liHiM r ( * * i j* JT V $ l4 t f 14( |i n*f.( - rf me c* -) p|Wtafl|：*rglti：).L j . apiMfM(v% 2p /I *r& j：if ( ifef gilV- * * Bife c mIi*F 4f ma t - -CK|IpFll1*.；. i .i . fa H. - : . .!*鼻ttfltal BW I w b，Hiiq t j | jj|Ha|-mb1|M車&j* Anp11 H11