<video id="zjj55"><delect id="zjj55"></delect></video>
<big id="zjj55"><listing id="zjj55"><del id="zjj55"></del></listing></big>
<menuitem id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></menuitem>
<output id="zjj55"></output>
<video id="zjj55"></video>


<menuitem id="zjj55"></menuitem>
    <video id="zjj55"><listing id="zjj55"></listing></video>
    <menuitem id="zjj55"></menuitem>
    <output id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></output>
    

    <menuitem id="zjj55"></menuitem>
    <menuitem id="zjj55"></menuitem>
        <big id="zjj55"></big>
            
	
		
	
	
	
	


            
    
    
            
		
          1. 
                
                
            
                    
                
            
            
            2. 
        
        
            
            移動端
            
             
                訪問手機端
            
            
        
            
        
            
            官微
            
             
                訪問官微
            
            
        
            
    
            
    

    
    
            
        
            
        
        
            
		
					
            
						
            搜索
            
                                                
                    
             
        
            
		
    
            
    
    
    
                    	
      數字金融
      5G消息
      隱私計算
      數字人民幣
      網絡支付	
      金融AI
      區塊鏈
      金融云
      物聯網
      金融安全  
     
       銀行業數字金融創新成果展
       Bank幫
      全部
    
            
    

            


            
    
    
            
        
        
        
        
            
            
                
                
            
            退出登錄
        
            

    
            
	
	
    
    
	
	
	
    
    
            
    
            
        
            
        
        
            
            
        
            
    
            
    
    
            
        
            
           
            
               
               
           
            
            取消
        
            
        
            
            
            熱搜詞
            
            
        
            
    
            

            





            
    
            
        溫馨提示:
            
        敬愛的用戶,您的瀏覽器版本過低,會導致頁面瀏覽異常,建議您升級瀏覽器版本或更換其他瀏覽器打開。
    
            

            
 


      
    

  
  	
	


            
  	
	

             
  
	
	
            
		
		
            
			
            二維碼風險和防范
            
			
			
            
                
            
                        
                            李闖
                    
                        
                            來源:中國電子銀行網 
                    
                    
                        2014-04-15 10:45:00
                    
                    
                        
                            
                            
                                
                                    二維碼
                                    風險
                            
                            
                        
                    
                    李闖
                
            
                
            
                    李闖    
                    
                        來源:中國電子銀行網    
                    
                    
                        2014-04-15 10:45:00
                    
                    
            
                        
            
                            
                        
            
                        
                            
                                
            
                                    
                                    
                                        
                                            二維碼
                                            風險
                                    
                                
            
                                        
                        
                        
            
                            李闖
                            
                        
            
                        
                    
            
                    
                
            
				
			
            
			
			
            
				
            核心提示近期,因為快捷支付,二維碼支付的風險安全被監管部門關注。官方認為,因支付指令驗證方式的安全性尚存質疑,暫停了第三方支付在二維碼支付方式上的應用。而近期也有不少消息稱用戶因為不安全掃碼而被偏走網銀資金。那么我們該如何認識二維碼支付?目前出現的安全隱患又該如何防范?
            
			
            
			
			
            
				
				
            
					
 
 
  
              作者:中國金融認證中心(CFCA)技術專家 李闖
             
  
              編者按:近期,因為快捷支付,二維碼支付的風險安全被監管部門關注。官方認為,因支付指令驗證方式的安全性尚存質疑,暫停了第三方支付在二維碼支付方式上的應用。而近期也有不少消息稱用戶因為不安全掃碼而被偏走網銀資金。那么我們該如何認識二維碼支付?目前出現的安全隱患又該如何防范?
             
  
              1. 二維碼是什么
             
  
              一句話定義二維碼:一種快速錄入工具!
             
  
              通常所說的二維碼的是由日本豐田子公司發明的QR二維碼, 如今已經普遍融入到我們的生活當中 ,火車票、名票、廣告、防偽以及最近處于風口浪尖的二維碼支付,如此繁多令人眼花繚亂的二維碼應用形式,究其本質,都只不過是讓用戶的智能終端快速的錄入一段數據,數據可能是一條冗長雜亂的網址,也可能是一段格式良好的聯系人信息,甚至是一組看似毫無意義的隨機字符。
             
  
              但是鑒于本文探討的二維碼安全主題,我們為這個定義再加上一段修飾語會更為貼切:
             
  
              二維碼:一種肉眼無法識別的快速錄入工具。
             
  
              2. 二維碼風險分析
             
  
              我們為什么要加入這么一段拗口又如此顯然的修飾語呢?這是因為正是這條看似無意義的特征,成為如今甚囂塵上的二維碼安全問題的根源。用戶無法僅憑肉眼判斷二維碼的來源,是否經過篡改,甚至無法判斷兩個二維碼是否相同。并且二維碼本身為單向信息傳遞方式,沒有處理能力,無法像其他近場通信方式NFC、藍牙那樣進行雙向、單向身份驗證。
             
  
              可以說即使面對的是一個疑似惡意的二維碼,用戶能做的也只是拿起手機先掃掃看。然而這一掃的背后,究竟隱藏著多少安全隱患呢?筆者總結了目前的社會案件和理論分析,大致歸為三類:
             
  
              木馬下載鏈接:攻擊者誘導用戶掃描含有手機木馬下載鏈接的二維碼,一旦木馬下載并安裝到用戶的手機中,攻擊者便可遠程控制攔截轉發用戶的短信,從而極大的威脅到用戶的支付、網銀賬戶,這種主要針對Android用戶的攻擊是目前絕大多數二維碼金融欺詐案例的罪魁禍首。
             
  
              釣魚網站鏈接:二維碼中的網址鏈接指向攻擊者實現準備好的釣魚頁面,竊取用戶輸入的敏感信息。例如用戶通過某支付公司客戶端掃描惡意二維碼,打開其中的鏈接后,發現是此支付公司的登陸頁,很輕易掉以輕心輸入用戶名密碼,從而導致泄漏。事實上這種攻擊并不像那些熱衷于技術的極客們認為的那么容易防范!請看圖示: 
            
  
             
            
  
            二維碼中的網站鏈接大都為縮短網址,無法分辨真假! 
            
  
             
            
  
            假網址一閃而過,大部分手機瀏覽器為了節省空間,加載網頁后自動隱藏地址欄。用戶根本無法辨別!
             
  
              無法防范的XSS漏洞攻擊:對于普通用戶來說,這種攻擊危害極大,且幾乎是無法防范的,除非他們不再掃描二維碼。不管哪種手機操作系統都存在一些公開和還沒公開的漏洞,有些漏洞可被巧妙的利用到二維碼欺詐中。
             
  
              比如目前仍有大量用戶使用的Android2.3.X系統中存在多個可導致XSS攻擊的漏洞,利用這些漏洞攻擊者可做到,只要用戶掃描惡意二維碼后點擊鏈接,手機后臺就會下載并安裝木馬程序,整個過程不會有提醒。這可以通過javascript腳本利用系統漏洞調用INTENT組件再調用應用市場實現。
             
  
              這種攻擊目前是比較罕見的,利用漏洞需要一定的技術能力和時間成本,但是筆者認為最主要的原因還是上述的前兩種攻擊方式目前成功率太高了,如此簡單的攻擊就能達到目的,攻擊者完全沒有必要利用更復雜的技術!
             
  
              3. 風險的防范
             
  
              近年來移動領域可謂是爆炸式的增長,移動金融的發展速度更是超出了人們的想象!各種創新的移動金融應用讓人目不暇接,但是與此同時,移動安全卻顯得步履瞞珊,沒有跟上整體發展速度。坦白來說,二維碼的風險問題只是移動領域整體安全形勢不樂觀而凸顯出的一個典型實例!要緩解這種風險,需要各方的共同努力:
             
  
              對于普通用戶:必須要提高警惕,不要掃描來歷不明的二維碼,打開網頁要注意地址欄內的信息是否正確,更不要通過網頁下載安裝應用,Android用戶不要刷來歷不明的rom。最重要的是:不要再信任短信認證碼了!這種古老的身份認證手段在智能手機時代不再可靠,盡量關閉那些僅需短信認證即可交易的支付功能。
             
  
              對于銀行等金融服務商:有責任提供給用戶更安全的認證手段,,U盾和二代U盾的普及極大程度上解決了中國的網銀安全問題,同樣在移動終端我們也需要這種不依賴于用戶使用環境的認證手段,即在用戶所處的系統環境和網絡環境都不可信的情況下任然能保證安全,近期中金國信科技有限公司推出的藍牙盾產品即提供二代U盾同樣的安全功能,即使用戶的手機、通信通道全被攻破,只要藍牙盾還在用戶掌握之中,就能保護資金安全,如圖: 
            
  
             
  
              對于整個移動行業:一昧的要求用戶提高警惕是一種不負責任的行為,作為從業人員,我們有責任為用戶構建更加可信的環境,而不是讓用戶每次使用方便的技術時都提心吊膽。
             
  
              筆者認為由合適的監管機構或公司牽頭成立“可信二維碼平臺”是一個切實可行的解決二維碼風險的方案。結合數字簽名技術,可以做到用戶每掃描一個二維碼即可得知此二維碼是由哪個機構生成,并可保證中途未經篡改,同時也可追蹤惡意二維碼的來源。至于“可信二維碼平臺”的技術實現,有多種方案可供選擇,歡迎有興趣的同仁來信討論。
            
 
人妻精品一区二区三区_好紧好湿好硬国产在线视频_亚洲精品无码mv在线观看_国内激情精品久久久

            <video id="zjj55"><delect id="zjj55"></delect></video>
            <big id="zjj55"><listing id="zjj55"><del id="zjj55"></del></listing></big>
            <menuitem id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></menuitem>
            <output id="zjj55"></output>
            <video id="zjj55"></video>
            

            <menuitem id="zjj55"></menuitem>
              <video id="zjj55"><listing id="zjj55"></listing></video>
              <menuitem id="zjj55"></menuitem>
              <output id="zjj55"><delect id="zjj55"><pre id="zjj55"></pre></delect></output>
              

              <menuitem id="zjj55"></menuitem>
              <menuitem id="zjj55"></menuitem>
                  <big id="zjj55"></big>
                      



					
                      責任編輯:王超
                      
				
                      
              	
              	

                      
              		
                      免責聲明:
                      
                  	
                      中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。
                      
              	
                      
			
                      
			
                  
			
                  
			
               
			
              
			
			
                      
              	
				
                      
					
                      為你推薦
                      
				
                      
				
                
                
                      
					
                      猜你喜歡
                      
				
                      
				
			
                      
		
                      

		
		

		
		
                      
			
                      
				
			
                      
		
                      

	
                      
	
	




                      
 

                      




                      
	
	
                      
		
                      
			
                      收藏成功
                      
			確定