今年3月14日,央行下发紧急文件叫停支付宝、腾讯的虚拟信用卡产品,同时暂停的还有条码(二维码)支付等面对面支付服务。在这份《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》中,央行表示,线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全与资金安全。
时隔一天,央视又在“315”晚会上曝光了二维码诈骗。对二维码安全问题的质疑瞬间成了全民话题,不少人投诉,在二维码支付过程中,出现了信息和资金被盗取的问题。相关专家认为,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。
从一两年之间铺天盖地式的普及,到被视为极大的资金信息安全隐患,二维码行业遭遇重创。而事实上,表面最为尖锐的安全性问题背后,隐藏着整个行业的疾患。
中国二维码乱象
随着中国信息产业化的迅猛发展,二维条码像雨后春笋般,得到广泛的应用。用户只要在智能手机上安装二维码客户端,就可以拍摄并识别媒体、报纸等上面印刷的二维码图片,获取二维码所存储内容并触发相关应用,如手机上网、名片识读、拨打电话等多种关联操作,以此为用户提供各类信息服务。
例如:平面宣传物料:商家可在报纸、杂志、图书、海报、传单、优惠券、广告牌、X展架、产品包装、个人名片等上加印二维码,既节省物料成本,让信息量最大化;又可引领潮流,实现信息快速获取,便捷保存;视频广告宣传应用:在电视、视频、广告上嵌入二维码,可以及时进行信息采集,实现观众互动,起到扩大传播效果;线上推广应用:将二维码发布到企业网站、广告条、微博等媒介上以配合线上宣传。
用途虽然相当广泛,但公众对于二维码的认识着实有限。据我们进行的采样统计,大众对二维码的认识仅限于流行、好玩、好奇,都是最基本的认识层面上。所以,二维码的安全性备受挑战。
在《2012年上半年全球手机安全报告》上显示,2012年上半年查杀到手机恶意软件17000多款,而其中二维码技术成为手机病毒、钓鱼网站传播的新渠道。2013年,利用二维条码来作案的案件也在上升。主要媒体也相继披露:央视报道:《警惕网络快捷支付陷阱:扫一扫二维码 4万元竟不翼而飞》;《女子手机收到二维码 扫一扫损失5000元》;安徽卫视:《扫描病毒二维码 支付宝40万资金被盗》;新民晚报:《扫扫“二维码”上当了》;新华网:《“扫一扫”支付宝18万存款没了 二维码或藏病毒》;还有诸如《二维码可复制亦可制假》等等报道。
我们知道,大部分公众无从了解二维码的技术,的确无法鉴别钓鱼网站和一些恶意二维码的伤害。警方也对此高度重视,频繁在网络媒体发布安全防范信息,资深手机软件专家亦认为,利用二维码骗取手机话费是完全可行的,很多病毒软件可以利用二维码下载,让老百姓有一颗警惕的心……在这些警示下,部分公众开始对二维码“敬而远之”,却全然不知问题所在。
技术标准树立安全屏障
通过这些基于二维码使用而频繁发生的事件,我们发现了几个非常重要的问题:一是二维码安全性极弱,成为手机病毒、钓鱼网站泛滥“重灾区”;二是二维码行业技术门槛过低,盈利的模式不清晰。中国的二维码行业百花齐放、各自为战;没有深刻地认知和清醒地判别,而是去一味地去追逐市场的发展速度。码制乱用;三是二维码技术应用常被用于传播敏感信息等不良目的所利用。二维码的普及,已经出现一些人把敏感内容制作成二维码,绕开网络监管,发布在论坛、微博等网络平台上,供网友扫码观看。
在信息时代,二维码代表着一种文化标识符号,更代表一种高安全性、高可靠性。但,带有恶意软件和病毒成为二维码道路上的绊脚石。发展与防范二维码的滥用正成为一个亟待解决的问题。这需要二维码行业有更为规范的技术手段与统一的安全防护措施,以规避交易风险。
由于二维码国家标准指定的历史原因,以及我国自主知识产权二维码的技术限制,以美国的PDF417和日本的QR为标准的二维码是我国党政机关主要媒体、军队等核心应用项目中普遍采用的二维码产品。而在商用市场上,日本的QR码的应用最为泛滥。
殊不知,日本的QR二维码前端解码,是开源的、通用的,技术门槛非常低,谁都可以生成,谁都可以读取。调查发现,将植入病毒程序的网络链接制作成二维码,这是没有技术门槛的,任何人在互联网下载一款“二维码生成器”,再把病毒程序的网址粘贴到二维码生成器上,立即就能生成一个迷宫似的二维码图片,整个过程不超过1分钟。所以它仅仅是一个工具,无法独立生存,只有靠增值服务才能赚钱。在广泛应用的同时,存在着诸多问题和信息风险。相当于明文电报,没有保密可言。每个智能手机用户都能成为日本的QR二维码的识读者,只要手机上有微信,或是“我查查”等日本的QR二维码识读软件,就能任意读取日本的QR二维码。如果是在特殊行业或是国家党政机关主要媒体在涉及到应用二维码时,谨慎地选择安全的二维码就是重中之重了。
在日本,如果涉及到公选等重大政府活动,就会使用自己本土码制,让人们有种信任感和民族自豪感。在美国等各发达国家亦如是,在各大媒体,政府公众活动中也理所当然的会使用自己的本土码制。
其实,早在2007年中国已经有自己本土的二维条码,它不仅具有完全独立的中国自主知识产权,拥有国际标准、国家标准和军队标准的GM二维码。而且每一个GM二维码生成后,一直是有管理有维护不断在升级的码制。正是因为GM二维码后台解码的有序管理,和无法复制、盗用等技术特征,被国家军队和公职机关所选用。
虽然GM二维码起步较晚,但却有着清醒的认知和足够的重视,一直坚持“自主、可控、安全”的技术品牌体系,在使用其安全性上是无可比拟的。中国自主知识产权的GM码抓住这一优势,在信息产业快速发展的时代,一方面重视其技术的更新、应用、无限拓展使用空间,另一方面是如何在激烈的全球化市场竞争中得以生存、发展?这一问题是长期以来是GM码开发者一直考虑的首要问题。通过不断地努力,GM二维码不管在军用上还是民用的市场上都占有一席之地。
在武汉的中百超市在全国率先使用GM二维码进行食品安全质量追溯,不仅为政府解决了长期以来最为头疼的食品安全监管问题,也为老百姓解决了安心放心健康的菜蓝子问题。京东商城开出第一张GM二维码发票,现在已突破百万张。GM二维码在全国智慧城市建设中也发挥着重要的作用,在武汉古老的标志性的建筑中,安装GM二维码标志牌,游客只需用手机扫一下GM码,这些老建筑的建筑年代、建筑风格及历史故事等便会一目了然,令人耳目一新。为推广垃圾分类和垃圾减量,北京西城区率先推出通过GM二维码来追溯居民垃圾投放次数、时间、重要、分类等信息,便于进行垃圾分类和减量的精细化管理,大力推进环境保护。
建立行业标准迫在眉睫
伴随着二维码产业发展与竞争不断的升级,二维码使用安全问题、投诉频率暴露,在2013年10月22日,中国二维码产业联盟在北京正式成立,虽然还需要一定的时间来发展和完善,需要联盟、行业协会或主管部门进行统一协调,但也是象征着中国的二维码在使用规范性和安全性上迈进了实质性的一步。
这标志着:在技术标准上对源头的控制更加强化、强硬,不再受制于国外标准。在内容管理上加强管理部门的审核与追溯;统一的标准和编解码体系,建立覆盖全国、规范可靠、安全可控统一标识体系,推动中国自有知识产权二维码技术的研发和产业化应用;在涉及到国家信息安全、党政机关的主要媒体在使用二维码的同时,有着规范性、安全性的操作指导,就如为信息设置了“安全阀”。
中国二维码行业必须走上规范、安全、可靠的道路,要经得起市场环境秩序的考验和监管,这样中国二维码产业才能走的更稳、更健康、更远。
-------------------------------------------------------------
相关资料链接:
什么是二维码?
二维条码/二维码(2-dimensional bar code)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理;它具有条码技术的一些共性;每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。是所有信息数据的一把钥匙。
二维码是一种比一维码更高级的条码格式。一维码只能在一个方向(一般是水平方向)上表达信息,而二维码在水平和垂直方向都可以存储信息。一维码只能由数字和字母组成,而二维码能存储汉字、数字和图片等信息,因此二维码的应用领域要广得多。如:产品防伪/溯源、广告推送、网站链接、数据下载、商品交易、定位/导航、电子凭证、车辆管理、信息传递、名片交流、wifi共享等等。
二维码起源及发展
二维码的起源于日本,Denso Wave公司为了追踪汽车零部件而设计的一种条码。
国外对二维码技术的研究始于20世纪80年代末,在二维码符号表示技术研究方面已研制出多种码制,当时常见的有PDF417、QR Code、Code 49、Code 16K、Code One等。使其二维码的信息密度都比传统的一维码有了较大提高,如PDF417的信息密度是一维码CodeC39的20多倍。
二维码作为一种全新的信息存储、传递和识别技术,自诞生之日起就得到了世界上许多国家的关注。美国、德国、日本等国家,不仅已将二维码技术应用于公安、外交、军事等部门对各类证件的管理,而且也将二维码应用于海关、税务等部门对各类报表和票据的管理,商业、交通运输等部门对商品及货物运输的管理、邮政部门对邮政包裹的管理、工业生产领域对工业生产线的自动化管理。
矽感科技自主研发的网格矩阵码(GM码,标准号SJ/T 11350-2006)和紧密矩阵码(CM码,标准号SJ/T 11349-2006)2006年获得信息产业部行业标准,并在2007年获得信息产业部科技进步奖。2008年获得AIM(全球自动识别协会)国际标准(标准号AIMD014)。2011年5月25日获得国家军队标准(标准号GJB7365-2011)。网格矩阵码和紧密矩阵码2012年5月1日被正式颁发为国家标准,标准号分别为GB/T27766-2011和GB/T27767-2011。紧密矩阵码已列入2013年国家军队标准计划,预期2014年正式向全军颁布实施。上述码制标准技术和研制单位是我国工业与信息化产业管理部门目前唯一支持的自主创新产品和高科技企业。
近年来,网格矩阵码和紧密矩阵码在我国党政机关、军队和民用市场等领域开始得到广泛应用。