现在生活周遭随处可见 QR Code,从电子发票条码、广告网站链接、想加 LINE 好友,只要扫一下 QR Code 即可,但你有没有想过 QR Code 安全吗?
QR Code 很方便,但肉眼读不出来
随着生活中有越来越多 QR Code,只要使用智能手机或平板扫一下条码,就能加好友、连到特定网站或买东西。
但一般人看到 QR Code 就是黑白方块的组合,除非使用智能装置的 App 读取条码内容,否则光看着二维条码,也看不出来它究竟连去哪个网站。
“一个条码连到两个网站”
最近,日本神户大学资工系教授森井昌克发现,QR Code 设计时可做到“一个条码连到两个网站”的效果,且设计这种 QR Code 时,还可以调整分别连去两种网站的频率,让特定比例的使用者一扫条码就跑到错误的网站。
▲ QR Code 只有一个角落没有双层正方形方块,这让 QR Code 不管正著拍、倒著拍,QR Code 扫描 App 都能判别 QR Code 的方向,读出正确的资料内容。(Source:Flickr/Dianne Yee CC BY 2.0)
小补充:二维条码 QR code
QR Code 是一种二维条码,在一块正方形区域编码中最多可储存 7,089 位数字或 4,296 个符号,随着 QR Code 的资料量越多,QR Code 的尺寸就越大。
QR Code 的正方形区域内,除了右下角,另外 3 个角落都有一个双层大正方形用来定位。所以不论读取时智能手机镜头是正著拍、反著拍、歪一边拍 QR Code 条码,应用程序都可辨识 QR Code 的方位。
QR Code 读取速度快、又可在小范围储存大量资讯内容,因此现在越来越多场合都会使用 QR Code,让有兴趣的民众轻松读取更多内容。
▲ 现在有不少公司名片会附 QR Code,只要用智能手机扫描一下,就可以储存名片资讯。图为微软的名片。(Source:Flickr/Michael Kappel CC BY 2.0)
设计之初就加工完成
究竟这种“伪装 QR Code”如何做到“一个条码连到两个网站”呢?
森井教授指出,通常大家制作 QR Code 时,多半是利用免费的 QR Code 产生器网站,或委托专门的 QR Code 设计公司来设计。这种时候,假如这些免费 QR Code 产生器网站或业者别有用心,就可在设计时加一点工,制作一款“伪装 QR Code”。
利用重复存取区域加工
QR Code 设计上,为了确保部分内容资料毁损也可读取到正确资料,有些区域储存的资料会重复。
而这种“伪装 QR Code”通常就是利用这些重复存取相同资料的区域来加工。
还可以调整连错网站的概率
森井教授表示,设计者在设计之初可调整这种“伪装 QR Code”连到错误网站的概率,可能数百次或数千次才会有人连到错误的网站。因此,委托制作 QR Code 的人初期可能不觉有异。
QRコードにセキュリティー上の弱点 不正サイトに诱导も | NHKニュース https://t.co/Em1ntylt7b
— 森井昌克@神戸大学 (@prof_morii) 2018年6月23日
森井教授也设计了一款“伪装 QR Code”,画面左边是正常版本,只会连到森井教授实验室的网站。画面右侧的“伪装 QR Code”有 10%~20% 概率会连到“假”网站──森井教授事先做的另一个网页。
等到发现时就来不及了
森井教授说,一直要等到设计好的 QR Code 送印或对外发表后,有使用者反映连到别人家网站去,这个时候发表者才会发现不对劲。然而,此时已经来不及回收这些发出去的“伪装 QR Code”了。
▲ 2017 年 11 月,泰国曼谷(Bangkok)一家商店里,摆着一个第三方支付的 QR Code 立牌。(Source:达志影像)
使用者可能没发现连错网站
森井教授也说到,如果这些“伪装 QR Code”连结的错误网站,是有心人士特地仿造正常网页设计的“假”网站,使用者很有可能完全不知道自己连错网站了,甚至遇上诈欺。
NHK 则提到,如果是金融机构的网站遇上“伪装 QR Code”,问题就会变得更严重。
在第三方支付条码上贴假 QR Code
NHK 举例,中国因为第三方支付很普及,买东西只要扫一下商品 QR Code 就可付款。曾有不少案例是有心人士在真的 QR Code 上贴假的 QR Code,有些消费者因此受骗。
▲ 森井教授建议,大家在选择 QR Code 扫描 App 时,不要使用一扫到条码就自动连上网站的 App,一定要先确认网址没有问题,再连上网站才能确保安全。(Source:Unsplash)
要慎选 QR Code 扫描器
虽然“伪装 QR Code”本质上和这种“贴上去”的假 QR Code 手法不同,森井教授建议,大家在使用 QR Code 扫描 App 时,不要选择一扫到 QR Code 就会自动连上网站的 App。
QR Code 扫描 App 读取条码内容后,一定要亲眼确认跳出来的网址有没有问题,再连到该网站是比较安全的作法。
森井教授也强调,QR Code 最大的缺点就是一般人没有办法一看到 QR Code 条码,就能看出这个条码写什么资讯在里头。所以连到 QR Code 存取的网站之前,一定要检查连结网址是否正确。
- QRコードにセキュリティー上の弱点 不正サイトに诱导も
- 気を付けろ!QRコードに脆弱性? その深刻さと骗されないための対策
- Researchers: Security flaw in QR codes found
- QR Code Basics
(本文由 地球图辑队 授权转载;首图来源:Flickr/U.S. Fish and Wildlife Service Headquarters CC BY 2.0)
