二维码扫一扫手机就会中毒是真的吗?

发表于:2016-06-13 09:00:00 来源:  红黑联盟 阅读数(0人)

由于某场晚会的曝光,使得许多人对二维码这个非常好用实用的家伙有了恐惧感,还有些人还因为曾经参与了“扫描二维码关注公众号获得小礼品”的活动而心惊胆战,那么就这么扫一扫二维码,你的手机就真的会中毒么?二维码真的那么危险么?不要人云亦云,咱一起来往下看!



图1 你曾经参与过类似的活动么?


二维码是啥?它安全么?


要弄明白问题,我们先得来看看“二维码”这个家伙到底是什么来的?


二维条码/二维码(2-dimensional bar code)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理:它具有条码技术的一些共性:每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化点。


二维码条码可以容纳1848个字母字符或2729个数字字符,约500个汉字信息。这种二维条码比普通条码信息容量高几十倍。


通俗点的说就是:先把文字转换为二维码图案,当用户进行扫码的时候就是通过手机应用再把二维码图案还原为文字的过程。用户可以把数字、英文、汉字等文字转换为二维码,然后再通过识别应用把它们识别还原出来!



图2 将文字转换为二维码(你可以扫一扫哦)


而微信里的扫描二维码就可关注公众号的操作,其实那个二维码就是一个网址,当你用微信扫描后,微信便自动识别了该网址,然后直接进入了该网址。



图3 扫描即可关注太平洋电脑微信公众号


比如太平洋电脑网微信公众号的二维码,如果你用微信扫描,则直接进入太平洋电脑网微信公众号。如果你用其它二维码识别工具进行识别的话,那么则看到的是一个链接。



图4 用其它工具扫描识别出来的是网址


现在很流行的扫码支付功能,其实也是将你的付款信息的一连串识别数字码转换为二维码,然后商家一扫描你的付款二维码经转换获得识别数字码,与支付商进行通讯验证后就能完成支付操作。



图5 微信的扫码支付功能

图6 那个二维码其实就是一长串的数字


从上可以看到,二维码到目前为止还是很安全的,至少它目前只有将“文字→二维码→文字”的能力,而没有将“程序→二维码→程序”或者是“代码→二维码→程序”的能力。扫描二维码导致手机中毒?咋回事?


但是网络上却有许多说扫描二维码导致手机中毒的新闻,那是怎么一回事呢?


上边说了二维码本身没有病毒,但是黑客们却利用它来生成了一个带有链接的二维码,当用户扫描该二维码后,就直接进入了钓鱼网址或者是下载了一个病毒APP。


比如,如果你扫描下边的这个二维码,然后进入网址,安卓用户就会进入一个下载页面并开始APP的下载过程,下载完毕后提醒用户安装。



图7 扫描二维码下载太平洋电脑网APP


所以要想要病毒APP进入你的手机,还有一个点击安装APP的过程。当然黑客们会用各种方式诱惑或诱导你进行安装。而不是一扫描二维码就能导致手机中毒!



图8 需要用户介入的是否安装过程


还有一种莫名的中招方式就是:你的安卓手机已经ROOT,并且你赋予了浏览器ROOT等相关权限,你还设置了下载完毕自动安装的配置。那么就能形成,扫描二维码,打开链接后就被自动安装上病毒APP的情况,看清前提条件!所以,浏览器的自动安装功能可千万不要开启!



图9 你是否打开了浏览器自动安装功能?


附猎豹移动安全专家一文:猎豹移动安全专家指出,骗局开始的“扫二维码”本质是用浏览器打开一个网页链接,扫码这个动作本身并不会立刻产生危害。但如果这个连接是诱导用户下载安装APK文件,这就是典型的“短信拦截木马”,如下图所示:



图10 诱导安装


扫恶意二维码,下载到假冒工商银行的木马,安装后造成银行密码丢失,该木马同时具有拦截手机验证码的功能。安装了短信拦截木马之后,骗子不仅可以窃取手机上的银行卡账号、密码,用这些账号密码去窃取银行资金;更可以拦截银行发给你的短信,这样骗子从银行卡里转账的时候,资金变动的短信被拦截,使得受害用户无法得知资金失窃,从而错过追回资金的最好机会。(摘录到此结束)


手机中打开链接就中毒的情况是真的么?


而声称用户一点开链接就会导致手机中毒,这也是最近部分媒体所描述的场景,这也导致了不少用户成了惊弓之鸟,拒绝每一条链接。


那么在智能手机中有这样的情况么?因为以前大家在电脑中只是浏览网页就导致操作系统中毒的事件还让人心有余悸。


在电脑中浏览网页就导致中毒,那是因为黑客们通过在某个网页中挂马,当用户浏览了该网页时,病毒木马就会利用用户的操作系统及软件漏洞而入侵用户的计算机。这前提是有漏洞,如果你经常进行Windows UPdate操作还有升级了FLASH插件的话,想中招是比较困难的。



图11 Windows UPdate


那么在智能手机系统中,有没有发现一点击链接就导致中毒的事件呢?笔者就此咨询了知名的猎豹移动安全专家李铁军,李铁军称:“目前未发现黑色产业利用安卓浏览器漏洞,一点就完成盗窃的情况”。


也就是说,在智能手机中还没有发现一点击链接就导致中毒的事件,那些所谓一浏览网页就导致中毒的用户,其实除了打开网页外,还有一个下载病毒APP及需要用户确认安装的过程。因为打开网页其实执行的是一个下载病毒木马的过程,下载回用户手机后,还有一个安装过程,这个安装过程是需要用户介入的,用户需要点击确认安装还是取消。如果用户点击了确认,那就相当于直接安装了病毒木马,接下来就是盗号与屏蔽网银等发送过来的信息。


上述的情况,未越狱的ios用户就更加不用担心了。



图12 需要用户介入的是否安装过程


除了诱导安装外,有些链接还是钓鱼网址,引诱用户填写个人信息,从而完成套取用户信息,盗号等目的。比如某条免费送价值1000大洋的手表的消息,进入后需要用户填写收货资料,许多用户便被这天上掉下来的免费馅饼给砸晕了,就提交了姓名、手机号码、地址等的信息,甚至有些还把身份证号码也敢填写进去。你的个人资料就是这么被泄漏出去的。



图13 这么便宜的iPhone你心动了么


有些用户不到黄河心不死,进入钓鱼网址后,不仅填写了支付宝帐号密码,还因为错误提示进而填写了身份证号码等的敏感信息,进而再加上填入短信验证码,结果可想而知。


还有就是骗子不仅盗取了你的个人信息,还以快递费形式或其它方式来骗取你的金钱。有些还要你发送到朋友圈集赞,无形之中你就成了帮凶。最夸张的就是免费抽取2000个用户送iphone 6P的消息都N多人相信。你只要记住天上不会掉馅饼就好了,当然高空抛物的除外!


为了手机安全 该怎么办?


前边说了,打开网址后过了一会就提示要安装某某应用的操作,点击取消别犹豫。这里说说应用安装安全。安装应用尽量使用靠谱的应用商店,如太平洋下载等。当然还有谷歌的Play商店是Android用户认可的官方应用商店,不过现在尚处于无法正常访问状态。尽量不要在小型站点下载安装手机应用。



图14 靠谱的太平洋下载


还有就是不要在手机中随便安装所谓破解版的应用(许多用户喜欢安装破解版的游戏,因为不用花钱内购)可是这些破解版的应用你无从分辨是否被加入了恶意代码,它们可能摇身变成病毒木马从而完成恶意操作。还有就是如果你的手机ROOT了,千万不要轻易的赋予某个应用ROOT权限。



图15 ROOT权限不要轻易给


当然,在你的手机里安装一款靠谱的安全应用能帮你省却不少的麻烦,它识别恶意应用、提醒假冒网址,还能清理内存。当然你也别完全依赖它。



图16 可以帮你拦截部分钓鱼网址

图17 猎豹安全大师的恶意网址提示功能


总结


二维码还是比较安全的,无需太过于恐慌,记住一条,扫描后打开网址不要进行APP的安装,也不要在链接页面轻易填写个人信息。而对于那些需要在你的手机里安装APP后才能获得小礼品的街边活动,能不参加就不参加了吧,天知道该APP是正版的还是加料版的。而扫一扫二维码关注公众号获得小礼品的活动如果你愿意,参加也无妨(否则你让地推怎么活啊),不要安装任何的APP就是了!


如果你扫描二维码的时候,出现需要你输入啥银行卡号,支付宝,账号密码,帐号授权等的情况请直接关闭页面不要继续操作,如果弹出需要安装APP的情况也请直接取消,坚决不要安装任何的APP!重要的事儿说多一遍。



相关新闻

大家都在学

课程详情

Android基础编程

课程详情

Android安全基础

课程详情

隐私保护