二维码扫一下，就有可能中毒？-阿里云资讯网
二维码扫一下，就有可能中毒？
发布时间：
更新时间：
来源：网络
上传者：用户
　　日前披露了二维码的风险，而有些人对二维码的概念和二维码存在的风险还懵懂，本文将会和大家分享一些关于二维码的相关知识和提高安全的技巧，希望能够对大家有帮助
　　在提高二维码支付以前，需要先明白两个概念：
　　1、二维码里面是什么？
　　2、为什么扫一下就有可能中毒?
　　首先回答第一个问题，现在的二维码里大概会有这样一些数据：长文本、短文本、网址、名片、地理位置信息、wifi配置信息等。
　　然后是第二个问题，先通俗的解释一下&中毒&概念。中毒就和生病一样，病毒需要的是一个生存和发展的环境，如果扫码会中毒，那么环境是什么?那扫码软件以及扫码软件的运行环境(通常是手机操作系统)了。而在现在已知的二维码&病毒&中大致存在以下3种方式：
　　钓鱼网址，这个严格来说不是&病毒&，属于社会工程学威胁范畴，用户只需稍有安全意识则能有效避免被骗上当。在手机上，打开一个网址本身在大多数情况下是安全的，但危险在于停留在这个打开的网站上，用户干了些什么。用户主动输入信用卡号、安全码，用户自己主动输入用户帐号。。。另外，网址并不等于网站入口。比如，有一类特殊的网址，叫做伪协议地址，这个也有想象力空间(但似乎没见到攻击案例)，例如sms://、tel://等等，这些点击之后，在不同的系统上有可能会打开不同的，例如发短信、打电话等等。
　　HTML/JS混合代码，这是由于很多二维码软件了所谓的智能内容感知和识别，调用了浏览器解释引擎去承载和处理这些代码，实质上就是给&病毒&提供了&温床&，所以会&中毒&。但，就已知的攻击案例来说，纯第三方二维码类即使被这些浏览器客户端恶意代码攻击，在绝大多数情况下对用户造成的影响也很有限。极少数情况，可能会发生在：
　　恶意代码直接攻击浏览器解释引擎，造成内存破坏类攻击，直接获得原生应用程序级别的任意代码执行甚至是提升权限。这种问题发生的概率要远远小于PC端浏览器遭受同类型攻击的概率。主要是：大多数攻击程序是需要一定&行数&的代码组成的，而二维码的承载数据能力又是受限制于图片编码的容量极限的。简单理解就是：复杂攻击需要更多行数的代码，较少行数的代码只能实现较简单的&攻击&，二维码由于自身设计的&缺陷&，无法提供恶意代码存储所必要的足够空间，故攻击想象空间和影响效果有限。
　　自定义的二维码应用。虽然二维码本身承载的其实就只是普通文本数据(数字、字符啥的)，但有些软件给这些数据定义了一些自己的解析规则，目的是实现扫码后自动XXX或自动Y。坏就坏在这个自动化的过程，给了数据一秒变病毒的。如何理解?参考Web安全里的SQL注入、XSS等，就是最典型的数据一秒变病毒的参考案例。
　　上面3类&病毒&，第一种可以归类为需要用户交互才能得逞的病毒，后两种可以归类为无需用户交互即可实现&感染&的病毒。
　　前者在目前来说最常见，后两者攻击易得手但造成的影响大多数情况下极为有限。
　　应对方式和Web时代的安全问题类似，需要几方面参与者的共同努力。
　　扫码软件厂商，在提供基于二维码的新应用时，要安全的设计和实现二维码识别后内容的解析引擎，对网址的识别可以集成第三方安全厂商提供的URL黑名单查询服务，对已知恶意网址提前向扫码用户告警，并取消点击交互行为的支持。另外，扫码软件可以提供一个牛逼闪闪的安全模式(其实就是纯文本模式啦)，让有安全意识和能力的用户可以先看看是什么，再决定下一步如何解析、是否允许软件自动化做XXX或自动化YYY。当然了，做产品，还可以在层面再智能一些，让用户可以更傻瓜一些点【下一步】。
　　用户要做到，一要选择知名的二维码扫描软件，二要避免打开陌生和奇怪的网址。
　　安全厂商，还和现在一样，该干嘛干嘛，多给扫码软件厂商做做推广，集成你们的恶意网址识别引擎吧。再牛逼一点，云扫码吧，所有二维码里的数据，你们先在看看，不良内容给消消毒就是了。
　　至于二维码未来的安全问题?先让我们看到二维码在未来有什么新应用吧，如果没有新应用，那么以上内容已经涵盖了二维码病毒的成因和对策。新应用?我已经预测了以上的第三种方式了。
本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件至：zixun-group@service.aliyun.com 进行举报，并提供相关证据，工作人员会在5个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。
　　大家都是高手，其他的方面我也不太懂，但是我感觉我在写伪原创方面还是有一些心得的，今天拿出来跟大家分享一下。 　　首先我要说的是，很多SEOer都在声称内容为王，致使很多新手陷入了不停扩充内容的忙碌生活，但是我经过自己的实践证明，不停的填充内容是无效的，除非你能做非常高质量的原创(我的博客就是这么一直坚持的)，并且这些原创被各大网站转载，这样你的内容为王才有意义，而如果你的站只收录了了一个...
　虽然自己也还是新手，但也许只有新手才更了解新手吧(之前就有位站长朋友就说，往往高手会高估新手)!做网站也有几个月了，我觉得有必要将自己建站和学习中所遇到的问题总结出来，并给新手站长们一些建议(仅是建议)以供参考，希望你不会走我所走过的弯路! 　　1、 先学习，再建站。 　　磨刀不误砍柴工，古人留下的话是没有错的。新手站长在建站之前先进行一些系统的学习，会让你以后的建站道路上少走很多弯路。 ...
每当自己静静的坐下来回忆自己一路走来，是什么给了自己巨大的变化?人生面临各种各样的选择，因为选择是一个人一生最重要的，不可缺少的，我没有想到自己会在东莞这个地方待了5年。 　　记得小的时候，我自己因为一个很小的梦想。这和自己的爱好有很大的关系(在我小的时候，家里比较穷，在农村能看上电视是一件多么幸福的事情，在自己小学的时候，那时刚通电，我就幻想有一天家里能多一个电视该多好呀!那时要看电视要去...
　赚钱对于个人站长来说，是个永远无法回避的问题，那么做站，才能够真正的盈利，究竟怎样经营网站，才能做到即赚钱又轻松。 　　首先，有必要简要的说说目前的网络形势。 　　几大门户占据了绝大部分新闻资讯类的份额，再加上一些垂直门户，行业门户，资讯类的流量份额可以说已经所剩无几。主流关键词都被大型网站涉及，几乎你能想到的内容，或者说你需要的内容，都能通过“百度一下”而找到。典型的网站经营模式已经被各...
最近在论坛上看到几个关于讨论热门关键字的帖子,一个每天搜索几万次的关键字好不容易做到了百度首页却发现每天只代来个把IP,不知所以然,其实像些关键字大部分是虚假关键字,如果谁误把这些词当成主关键字去优化,那代价可是很沉重。我也有过亲身经历，结果注定是杯具。 　　在社会主义和谐的暖风中，我们沐浴在备案的海洋里，接受着网站整顿的洗礼，花了辛辛苦苦赚来的血汗钱，买了空间和域名，经过熬夜加班网站终于上...
　非但全国性的棋牌游戏行业竞争激烈，目前地方性的棋牌游戏竞争也进入到白热化的阶段，地方棋牌的一线城市也基本饱和了(部分地区还在激烈争夺中)，只有2线以下的城市还有空间，或则中西部的城市，或则南部偏远地区。而实力雄厚的公司还不断在这些竞争不是很大的区域攻城略地。同时棋牌游戏推广也步履维艰，地面推广，网络推广，联合运营，部分棋牌游戏也开始将SNS社区的概念引入进游戏，开始搞团购购物，同城交友!各...
若您要投稿、删除文章请联系邮箱：zixun-group@service.aliyun.com，工作人员会在5个工作日内回复。
售前咨询热线
服务与支持
资源和社区
关注阿里云
International手机误扫二维码中毒导致支付宝及银行卡资金被盗_新浪上海
手机误扫二维码中毒导致支付宝及银行卡资金被盗
东广新闻台fm90.9评论
　　经营一家淘宝网店的上海市民王先生近日收到一条陌生人发来的二维码消息，并用手机扫描了一下。没想到半小时后，他存在余额宝上的八千多元就不翼而飞，帐户密码也被人篡改。与支付宝绑定的银行卡内近三千元存款也被人转走。而就在上周，嘉兴汪女士也报案称，余额宝、支付宝及绑定的银行卡中18万元被骗子转走，原因也是误扫了一个二维码。
　　专家分析，两人很可能中了隐身大盗手机木马的毒，不法分子通过重置密码控制他人支付宝账户。这个木马会还拦截手机收到的网银和支付类验证短信。
　　不过，支付宝方面称，要重置账户密码绝对不会只需一条手机校验码这么简单。经过内部调查，当天王先生的支付宝密码在重置时，除了要求输入验证码，还需要输入身份证号码，因此可以说，他的身份信息可能早已泄漏。虽然最后支付宝与平安产险合作，为被盗用户给予了全额先行赔付。但专家认为，盗号事件频发，说明平台的安全性仍然有待提高。另一方面，用户也要提高警惕性。扫这个二维码当心手机中毒_网易新闻
扫这个二维码当心手机中毒
用微信扫码二维码
分享至好友和朋友圈
（原标题：扫这个二维码当心手机中毒）
商报讯（记者&杜高富）&昨日，记者从贵阳市经开区交管分局获悉，最近以来，小河片区接连出现多辆车被贴上着带有二维码的假违停罚单。交警提醒，交警部门开具的罚单没有二维码，带有二维码的假罚单是不法分子设骗局，通过扫一扫缴交罚款进行诈骗，车主千万别扫码，以防手机感染病毒。12月27日上午10时30分许，经开区交管分局接到12319转过来的一起投诉，小河一位车主反映称“交警对违停处罚有选择性，不能一视同仁。”随后，民警与投诉人取得联系得知，该车主12月26日晚将车停在锦江路路边，昨日早上开车时发现，自己的车前挡风玻璃上张贴着一张违停罚单，停在旁边的还有另外两辆车也被贴上了罚单。罚单上方显示：“贵阳市公安交通管理局交通科技处&公安交通管理简易程序处罚决定书”，中间是一些违法地点和内容，靠近下方有交通警的名字及“贵阳市公安交通管理局行政处罚专用章，公章中间还有一串数字。”最下方左侧，还留有一个微信二维码。该车主称，锦江路上除自己停车处，旁边还有七八辆违停车，同样是违停在路边，而且是违停成一排，却只有3辆车被贴了罚单。随后，交警查看了投诉人提供的罚单，交警当即认定是张假罚单，并不是交警部门开具的。“最近已接到多起类似反映，已发现6张假罚单。”交警介绍，12月23日、25日和27日，经开区交管分局都接到了车主反映，6张假罚单分别出现在淮河路、清水江路、锦江路、浦江路和盘江路。此次出现在经开区的假罚单，是不法分子模仿交警与驾驶员面对面直接开具的《处罚决定书》，贴在无人违停车辆上，直接跳过了《违法停车告知单》省略了一道程序，欲骗人直接缴纳罚款的意图明显。其次，贵阳市交管局并无交通科技处，假罚单上的“开单”民警为“吴波”，经开区交管分局并无此人。
(原标题：扫这个二维码　当心手机中毒)
本文来源：金黔在线-贵州商报
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈“扫码就中毒”二维码其实有点冤
二维码到底是个什么东西？对于一些恶性的二维码，手机只要一扫就真的能中毒吗？有没有什么方法可以有效规避掉二维码背后藏的“毒”？
二维码究竟是个啥？
&&“形象一点的说，它只是一种按照一定规律组成的几何图形，其性质与文字符号或者网络上的一个链接十分相似。”灵动快拍董事长兼CEO王鹏飞在接受北京晨报记者采访时表示，“它本身是用来存储信息的，信息可以是文本、网站链接、文件、图片、甚至视频、软件安装包等，你只需要用手机对其进行扫描就可以获取这些信息。”
对于之前一些媒体关于“一扫描二维码手机就感染病毒”的报道，这些报道并不准确的根本原因在于，他们漏掉了手机扫码感染病毒的关键环节，扫描二维码本身并不会让你的手机感染病毒，唯一让手机中毒的步骤是接下来你扫码之后，对不明链接的点击或木马软件的下载安装。
该如何避免？？
不少IT分析师表示，目前具有扫码功能的软件有很多，但它们并不专业，没有任何安全防护的措施，因此消费者一定要使用例如360、微信、快拍二维码等正规的扫码软件，一旦你所扫描的二维码包含不安全的信息，这些软件就会及时给以安全提示或警告。
确保二维码的可靠来源也是避免陷阱的另一方面，通常发布在电视、报纸、杂志等媒体上，或者正规企业的官网及产品包装上的二维码都是可靠的。“一定要谨记，出现在网站论坛中，或者是由陌生人发送，抑或是街头贴的小广告，只要不能确保对方确切来源，都尽量不要去扫。或者当你扫完二维码之后，发现你所看到的界面内容与它介绍的有所不同，这时候你就应足够警惕，不要继续点击任何出现的链接或者下载安装任何软件。”
阅读原文：http://mp.weixin.qq.com/s?__biz=MzI2MDM2NDU1OQ==&mid=&idx=1&sn=62ce0f11d1e067e5ec0738504a949bca&scene=0#wechat_redirect
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。