据央视新闻客户端报道 拿起手机扫一扫身边的二维码早已是我们生活中习以为常的动作。但一段时间以来,多地网民反映,自己在扫一些公共二维码时,手机页面竟跳转至涉黄和电诈网站。小小的“二维码”为何变成了“涉黄码”甚至“诈骗码”的入口?我们该如何加以防范和管理?记者就此展开了调查。
网友扫描公共二维码竟跳转至涉黄网站
今年3月30日,有网友发帖反映,自己在苏州上方山森林公园游玩时,扫码了园区接驳车上的一个二维码,没想到页面竟弹出不堪入目的涉黄内容。
上方山森林公园工作人员表示,涉事车辆上的二维码是“失效后被盗用”。
无独有偶,今年2月底,北京也有网友截图反映,自己在扫描街边一个公共设施上的二维码时,页面跳转到了涉黄网站。
记者后来对网友反映的公共设施上的二维码进行了实地扫描,手机屏幕上并没有发生页面跳转至涉黄网站的现象,只显示“无法打开页面”。不过,屏幕上方显示出的固定域名“city.cygfss.com”,与此前网友提供的涉黄网站截图里的域名完全一致。
记者梳理发现,近段时间以来,多地网友曾反映扫描二维码跳转至非法网站的情况。不仅仅是公共设施上的二维码,包括儿童识字卡、玩具包装盒,甚至是小学美术练习本封底上的二维码,都出现过网页被恶意篡改,并跳转到涉黄或电诈网站的情况。
二维码“跳转”背后的技术真相
从景区到城市街头,从玩具包装到公共设施,这些看似普通的二维码究竟是如何变成非法网站“入口”的?这背后到底存在怎样的技术漏洞?一起来看网络安全专家的解析。
专家指出,二维码之所以会“失效”,根源并不在二维码本身,而在于它背后所指向的域名。
奇安信网络安全专家裴智勇介绍,二维码本质上是一个图形化的数字,大家扫码的时候,实际上就是通过一个专业的解码器把黑白点翻译成一串字符,字符和网址是一样的,它就可以打开网址,用浏览器打开一个网站时,上面的网址就称为一个域名。
专家介绍,由于二维码本身不具备安全防护功能,真正被攻击的其实也是它背后的域名。扫描二维码却跳转至涉黄网站,最常见的原因就是域名的原注册个人或机构停止续费导致域名被回收后,又被非法网站恶意抢注。
专家:莫让“数字烂尾”留下安全漏洞
对于记者扫码发现部分街头二维码失效的情况,有业内专家表示,公共服务设施二维码失效的背后,折射出城市精细化管理中存在急需补齐的安全短板。
专家指出,政府单位或企业除了要考虑域名上线使用期间的安全性,还应在提供服务的初期就考虑到服务停止后二维码和域名的回收问题。
裴智勇表示,政府部门这个举措本身是便民的,但从安全角度来说,应该一开始就考虑它的软硬件回收问题。“所有投放出去的二维码在一开始就要制定好它的回收销毁计划,我们叫全生命周期的安全管理规范,从研发阶段到投入阶段、运营阶段、回收阶段,都应该具备完备的安全防护措施。”
工业和信息化部信息通信经济专家委员会委员刘兴亮表示,政府对于二维码这样的数字基础设施管理,不应该是一次性的,而应是长期的工作,要重视好后续的运营。