我们有必要担心二维码病毒吗?




博主先来瞎扯几句:
我之所以翻译这篇文章,是因为近一段时间不管是传统媒体还是SNS还是微博,都报道了这么一则新闻:xx因为扫描了某个二维码,支付宝/银行账户被盗走xx万,并且建议大家不要扫描来历不明的二维码,否则会被盗取个人信息,盗刷支付宝或银行账户云云…
实际上这样的报道十分不准确,这样的事情并不是由于二维码本身不安全,而是由于用户的安全意识太过薄弱造成的。

近几天一个关于二维码(以下简称QR)病毒的警告在互联网上疯狂传播,有几篇文章指向mashable(http://on.mash.to/oOXdG1)或其他的站点(http://bit.ly/p3JYhw)几乎所有的报告都提到了卡巴斯基提供了反病毒软件以及报告了bug.

为什么这种警告引起了恐慌?
QR是不能够被人类阅读的。你无法得知你正在扫描的QR是否安全,你也不知道他会将你带到那里。这就是QR的伟大之处–它让你只需要一个点击,就能够做到用很复杂的传统方法才能做到的事情。很多时候,扫描一个QR只是出于好奇,因为你不知道会有什么不好的事情发生。
但是,如果你知道一次简单的扫描就会破坏你的手机系统,或受到财产损失?
有一点是肯定的:当你点击或解码一个QR时,不会有任何不好的事情发生。他所能做到的最坏的事情也只是将你带到一个网页,而且是在你的掌控之下。或者说,上网浏览真的是一件如此危险的事情吗?

二维码不会是病毒!
一个病毒必须是可执行的,换句话说也就是在你的移动设备上运行的App(的一部分)。QR并不会被编码进可执行的内容,即使他们包含了,也没有扫描软件会去执行它们。所以有件事必须澄清:QR不会是病毒。
最坏的情况是:他们会指向一个建议你下载某个App的网页,并诱导你去下载–这样你可能就下载了一个恶意软件。
但是这个问题在于你下载的App。而不是QR本身,事实上你可以选择是否去下载安装某个App。
没有人会认为应该因为某些App包含恶意内容而去停止使用Apps。反之,有人说应该停止使用QR因为他们有可能会指向这样的恶意程序。但我们需要明白:这样的说法和“我们应该禁止广告因为某些广告会诱导你去下载包含恶意程序的App”是一样的逻辑。
在大多数平台,下载App是安全的,在其他平台下载的App,你也会在安装时得到关于App将会获得的权限的告知。如果你不信任这个App,你完全可以选择不安装它。

病毒是如何运作的?
病毒必须是可执行的,他会藏在在你的设备上执行的App中。某种病毒会通过向提供增值服务的号码发送短信,从而向你收取高额的费用。
此外,病毒会通过一些Android系统中的安全漏洞来控制Android设备。这种漏洞在iPhone上并不存在,因此iPhone用户可以无需任何担心地去扫描QR,同样,这种问题也不存在于Symbian等其他平台。
这样的问题不存在于iPhone平台上的原因在于苹果会在某个App上架前通过多种安全手段测试并审核它,所以你不用担心下载到包含恶意程序的App。
接下来所说的主要针对主要存在这个问题的Android平台
在Google Play中谷歌并不会在将App上架之前进行审核,其中也就可能会包含恶意App。当然情况并没有那么严重,你在安装App时系统也会告知你即将安装的应用将会获得哪些权限。
在安装apk时你将会看到一系列的权限警告,这些警告会告诉你这个App可能会做什么事情。我们来看一下哪些权限警告应当引起你的注意:

Dangerous Permission alerts – Android only

BRICK – This means that the application you are about to install has the capability to disable your device. Very dangerous threats do not download any app with this threat unless you know what you are doing.
CALL_PHONE – Allows the apps to perform a phone call without using the regular dialer user interface. Again some applications are expected to do this and there is no problem in using well knows apps that may be doing this for example a result of a user clicking a number on the screen.
PROCESS_OUTGOING_CALLS – Allows the application to monitor modify or even abort outgoing calls. Again this may be the target of some applications. Look if you expect the app you are downloading to do this.
REBOOT – The app has the ability to reboot your device. Do not download games with this permission alert.
SEND_SMS – Allows the application to send SMS. This is the loophole that the virus mentioned used. Please note that this permission alert must have been presented to the user during the installation of the game. Do not download apps that are not supposed to be able to send SMS with this alert.
WRITE_SMS – Allows the application to write SMS messages. Games for example are not supposed to do this.
USE_SIP – Allows using Session Initiation Protocol for controlling communication sessions such as voice over IP and video transmission. Do not download applications that have no connection to this activity if they have this permission alert.

For a full list of all permission alerts for Android apps look at the following link
http://developer.android.com/reference/android/Manifest.permission.html
这种病毒可以被阻止吗?
首先记住一件事情:QR本身不会是病毒,他最多把你带到一个诱导你下载恶意程序的网页。
其次,病毒总是偏爱容易存在漏洞的系统平台。
但是我相信谷歌会补上这些安全漏洞从而让恶意软件无法继续作死。

对于从Google Play下载App的用户来说,现在大多数包含恶意程序的App都已经从Play中被移除了。
对于从Google Play以外的站点下载App的用户来说,这里有一个网页说明如何安全地从第三方网站下载App。http://www.androidapk.net/?p=12
你可以安装Avast或者卡巴斯基之类的安全软件,虽然这会花费你几美元。

所以可以肯定的是QR本身并不是恶意软件或可执行程序,扫描并点击它们仍然是安全的。

博主再来瞎扯几句:

虽然文中说解码QR的过程是安全的,但是道高一尺魔高一丈,我们仍然需要注意:
1.如果QR里包含奇♂怪的可执行代码,虽然在正常情况下并不会被执行,但是如果扫描器中存在漏洞,那么有人通过QR进行类似注入的攻击并不是没有可能。
2.如果QR将你带到了一个包含奇♂怪的脚本的网页,如果这时你的浏览器存在漏洞的话,那么….同上。
3.QR中的网址并不一定必须要由http打头,反之它有可能指向一些奇♂怪的协议….
等等…

虽然上述3种情况虽然发生的几率很小,但是在黑客(应该叫骇客cracker准确些)地下产业如此发达的天朝,不排除会有人掌握着某些黑科技。

此外,上述的三种情况都只是纯技术方面的入侵,但是在已经发生的案例中,更多的则是社会工程范畴的入侵。在个人信息高度数据化的今天,我们手中的移动设备承载了大量的重要或隐私的信息。要保证这些信息不被他人非法地取得或利用,我们要做的并不是因为QR可能指向恶意程序的网址或钓鱼网站而因噎废食,形成一种保护个人信息安全的意识则是更重要的。

原文来自:
http://qrworld.wordpress.com/2011/10/21/qr-codes-viruses-should-we-panic/




Posted

in

by

Comments

3 responses to “我们有必要担心二维码病毒吗?”

  1. 随风漂流的星光 Avatar

    好文,转载一下w,谢谢

    1. Frank Avatar

      不客气,如果能顺便把过于严重的翻译腔修正一下就更棒了ww

      1. 随风漂流的星光 Avatar

        我觉得你翻译得挺好的ww,六级还没过的捂面

发表回复/Leave a Reply

您的电子邮箱地址不会被公开。/Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.