不安全的二维码

二维码如今随处可见,对手机而言识别一个二维码只是一秒不到的事,但扫描者在扫描前无法判断二维码是否藏有危险信息。在二维码给我们带来便利的同时,也给我们带来很大的安全隐患。建议扫描未知二维码前,使用有安全扫码功能的安全软件检查一下二维码的安全性。

暴力裂变

功能:让别人扫一扫二维码,自动把您在后台设置好的活动信息“文字、链接、图片”群发给扫码人微信中的全部好友和微信群。

当你扫描到这种二维码时,你的设备会自动向所有微信好友发送信息。商户可以诱导消费者扫描这种二维码,利用用户的社交影响力为其推广产品。尽管对用户没有造成太大的损失,但也暴露出二维码的不安全性。而对于恶意使用者,这是传播各种不良信息的途径。

二维码植入病毒

犯罪分子先将二维码植入病毒程序,编造理由或伪装成商家优惠券等,诱骗受害人扫描,从而获取受害人身份证号、银行账号、手机号码等重要信息,再以短信验证的方式篡改对方密码,将对方账户的资金转走。

制作这些二维码的门槛不高,攻击者通过二维码生成器就能把恶意代码制作成二维码。

安卓WebViewUXSS漏洞

如果扫描的二维码是个网址,大部分App会直接用Webview来打开,不法分子可利用WebViewUXSS漏洞窃取他人信息,导致资金被盗取,信息泄露等。

UXSS主要源于浏览器或浏览器扩展程序的安全缺陷,不需要网站本身存在漏洞也可以触发漏洞,攻击者可以获取到浏览器打开和缓存的所有页面(不同域)的会话信息,因此UXSS漏洞的杀伤力极强。

WebViewUXSS漏洞攻防:https://security.tencent.com/index.php/blog/msg/70

移花接木

随着支付宝和微信等移动支付兴起,不少商家都提供了二维码收款。但这种二维码绝大多数是静态的,不法分子恶意更改商家支付二维码(改为自己的收款码)就能使钱财流入自己口袋。此方法技术含量低却不易被察觉。


发表评论

电子邮件地址不会被公开。 必填项已用*标注