經過兩年快速發展的掃碼支付或將進入一個新的發展階段。2016年以二維碼支付為主導的支付方式席捲了線下支付服務市場,二維碼支付已成功滲透到生活的方方面面,二維碼支付有很多安全性問題待解,下面小編就帶大家關注一下。
不久前,一則偽造上海迪士尼樂園門票的案例引發廣泛關注。為迪士尼樂園提供票務技術和管理服務的某公司員工,利用技術漏洞盜取迪士尼樂園門票二維碼票號2600餘張並製作販賣假票1700餘張,獲取非法利益49萬餘元,給上海迪士尼造成80多萬元損失。
記者採訪了解到,從各種票據到網際網路應用再到工業、政務等領域,二維碼的廣泛應用在帶來便利的同時,也伴隨著巨大的信息安全風險。專家表示,解決這一問題的關鍵,在於推廣自主標準,用自家的「鎖」才能守住自家的「門」。
二維碼的背後連結著一個網址,至於網址的內容是無法從碼制表面看出的,是否蘊含惡意軟體也無從辨別,惡意的二維碼圖案就是引誘用戶掃描二維碼,連結到不良網站,偷偷下載病毒,此時該病毒不僅會使手機發送消費信息,甚至還能夠自動識別和屏蔽運營商發送給用戶的消費提醒簡訊;有時還會安插插件,偷取用戶的網銀帳號和密碼。還有的情況是,二維碼所承載的交易信息並沒有病毒,但由於加密的強度不夠,在掃碼過程中有可能遭到黑客破譯、竄改從而導致用戶信息被竊取。
業內專家告訴記者,二維碼是一個跨學科、跨領域、跨行業的信息化應用工具,與國家網絡信息安全、經濟運行安全、公共安全和百姓生活息息相關,但隨之而來的信息安全漏洞也給人們的財產安全帶來巨大風險,而相關管控卻遲遲跟不上步伐。
「問題的關鍵在於目前我們大量運用的是國外的二維碼技術,其開放式的市場應用模式導致了各種安全問題頻發且難以有效監控。」中國二維碼產業聯盟執行秘書長張也平說。
據介紹,目前我國廣泛應用的是日本Denso公司1994年研製的快速響應碼(QR碼),由於當時國內沒有自主智慧財產權的二維碼技術,2000年QR碼成為我國國家標準,並廣泛應用於政務系統、智能製造、金融支付、電子商務、新聞傳媒等領域,與網絡信息安全、經濟運行環境、社會公共安全及人民群眾日常生活息息相關。
「目前國內的二維碼市場幾乎全部被QR碼占據,但QR碼專利既沒有在國內申請,也沒有放棄專利權;2015年QR碼頒布了新的技術標準並開始收取專利費用,但國內市場仍在免費使用2000年的技術標準,隨時可能產生嚴重的智慧財產權風險,甚至可能直接影響到經濟社會運行安全。」張也平說。
張也平表示,為了達到市場壟斷目的,QR碼採取了所謂的全市場免費開放策略,導致我國二維碼應用基本處於失控和無序狀態。任何人都可以通過網絡下載生成和解析二維碼,並通過前台的手機進行實時解碼,但沒有後台對前台解析的內容進行識別和監控,出了問題往往無法鎖定責任主體。「從惡意廣告到金融詐騙,甚至包括敏感政治詞彙、政治宣傳,以及非法集會通知、謠言等,都能通過二維碼在計算機網絡和移動網際網路快速、廣泛傳播。」
據悉,目前我國共有5項二維碼國家標準,除了日本QR碼、美國PDF417碼,還有國內企業自主研發的漢信碼、網格矩陣碼(GM碼)、緊密矩陣碼(CM碼)三項國產標準。由於QR碼推廣較早,應用範圍也最為廣泛,但QR碼專用識讀機具、標籤生成設備等核心技術和生產能力都掌握在日本企業手中。
此外,美國PDF417碼是20世紀90年代初由美國Symbol公司發明的一種公開的技術標準,在多個國家廣泛應用於身份識別、證件管理、物流運輸乃至國防等領域,我國飛機登機牌二維碼、部分快遞單據二維碼等都使用的是PDF417碼。
「特別是日本企業在我國大力推廣QR碼標準,已經獲得了硬體設備的壟斷地位。」工信部中國電子技術標準化研究院技術總監王立建說,只有以自主智慧財產權二維碼核心技術和相應的中國標準為基礎的信息系統,才能將信息的「根伺服器」建立在中國,從而在保障國家信息安全的同時避免國外標準帶來的專利風險。
「實際上我國自主研發的漢信碼、GM碼、CM碼的標準能力、技術水平等都不低於國外標準,完全具備替換QR碼和PDF417碼的技術標準能力和產業配套能力。」中國二維碼產業聯盟理事長徐順成說,國產標準因缺乏政策扶持和驅動而遲遲不能有效使用,這極大制約了我國自主二維碼產業的發展。
近幾年隨著國家物聯網、智慧城市等應用系統的建設興起,國家產業部門開始逐步重視二維碼標準的建設工作,但在標準化的落實和應用方面,缺乏政策層面的措施和推動力度,對於目前出現的二維碼信息安全問題也缺乏有效的監管指導和協調機制。
「這就需要國家層面加強頂層設計和應用規範,實現二維碼技術自主、可控、安全,促進產業健康發展。」張也平說。
據中國報告大廳發布的2016-2021年中國二維碼行業市場需求與投資諮詢報告顯示,從近年來銀行卡收單市場發展的經驗和教訓來看,當前制定二維碼支付監管制度具有迫切性。
京公網安備 11010502031895號
