邱元陽

條碼的應(yīng)用由來已久，它最早被用在圖書和食品包裝上，后來推廣到各種商品。尤其是超市中，所有的商品都要有條碼，以方便識(shí)別和快速錄入。

隨著支付寶和微信等各種電子支付手段的普及，二維碼掃描成了最方便、最常用的支付方法，社會(huì)已然進(jìn)入了“掃碼”時(shí)代。不僅僅是支付，掃碼還有更多的應(yīng)用，如掃碼關(guān)注、掃碼加群、掃碼下載、掃碼播放等，甚至用于交換名片、打開鏈接、會(huì)議簽到、文件防偽等，不一而足。

但方便快捷的背后，總會(huì)有一些安全問題。尤其是掃碼支付，直接涉及到錢財(cái)交易，更會(huì)引起不法者的注意，他們想法設(shè)法尋找各種漏洞，布下種種陷阱。

先看最常用的掃碼付款，其掃碼方式有兩種：主動(dòng)掃碼（主掃）與被動(dòng)掃碼（被掃）?！爸鲯摺笔怯缮虘糁鲃?dòng)去掃描消費(fèi)者的條碼，由商戶來輸入支付金額，一般使用掃碼槍來完成?！氨粧摺笔怯上M(fèi)者掃商戶的二維碼，支付金額由消費(fèi)者手動(dòng)輸入。

超市一般都是采用“主掃”模式，方便快捷，不容易出錯(cuò)。由于需要消費(fèi)者出示自己的付款二維碼，可以避免逃付情況，但是這里面仍有漏洞存在——當(dāng)消費(fèi)者出示的付款二維碼被泄露時(shí)（如別有用心的商家在掃碼設(shè)備上附加拍照裝置），就會(huì)出現(xiàn)小額盜刷現(xiàn)象。而一些餐館、門市則大都采用“被掃”模式，不需要任何設(shè)備，只要張貼好自己的收款二維碼就行了?！氨粧摺狈绞较拢枰M(fèi)者用手機(jī)來掃碼，少付逃付的情況非常容易發(fā)生。比如，故意輸入相近的錯(cuò)誤數(shù)字欺瞞商家，或者虛假掃描（提前準(zhǔn)備好掃描結(jié)果圖片或使用簡(jiǎn)單的偽裝掃描APP），商家根本無法分辨（人多時(shí)不可能在手機(jī)上查看實(shí)時(shí)的付款結(jié)果）。

在個(gè)人面對(duì)面收付款的交易中，也有類似情況，但是因?yàn)殡p方手機(jī)都有提示，無法作弊。不過老年人和小白搞錯(cuò)收款二維碼與付款二維碼的情形卻是有的，結(jié)果會(huì)完全顛倒交易方向。

有個(gè)笑話中提到，盜賊可以利用偷換商家的收款二維碼為自己的收款二維碼來坐享其成。這雖然是個(gè)笑話，但是卻完全有可能，而且正被很多不法分子使用。小型店鋪受損的可能性不大，因?yàn)槌３Ｊ謾C(jī)在手，掃碼付款時(shí)沒有提示就會(huì)被發(fā)現(xiàn)。但若共享單車上的開鎖二維碼被替換的話，掃碼支付200元是有可能會(huì)被誤認(rèn)為是支付的注冊(cè)押金的。等發(fā)現(xiàn)開鎖不成功為時(shí)已晚，支付已經(jīng)完成。同樣，偽造違章停車罰單二維碼騙掃，也會(huì)讓很多人上當(dāng)。

二維碼覆蓋和替換，是一種偷梁換柱的陷阱，第三方掃碼平臺(tái)應(yīng)該提高對(duì)掃碼結(jié)果的識(shí)別和監(jiān)管，研發(fā)推廣帶有安全掃描技術(shù)的掃碼軟件。

即使非支付形式的二維碼，也可能是虛假二維碼，掃描后不知不覺地被安上病毒和后門，或者打開惡意網(wǎng)址的鏈接。以安卓系統(tǒng)的手機(jī)為例，如果掃描二維碼得到的結(jié)果是個(gè)網(wǎng)址，大部分Android App會(huì)直接用Webview來打開，而Webview的UXSS漏洞很容易導(dǎo)致資金被竊、賬號(hào)被盜或者隱私泄露。

利用二維碼盜刷消費(fèi)者存款，已成為一種新的犯罪途徑，二維碼是否正?；虿赜胁《荆瑥耐庥^上無法辨別，每個(gè)二維碼后面都可能隱藏著一個(gè)陷阱，使我們步步驚心。

發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，這一過程會(huì)一直進(jìn)行下去。對(duì)技術(shù)的敬畏讓我們不可能不擔(dān)心信息安全問題。如果程序員的聰明才智用在了利用軟件漏洞上，后果是很可怕的。