⼩程序⼆维码有⽆安全漏洞?我们做了最完整的调查
是不是你打开的⽅式不对?
2012年5⽉23⽇,扫⼀扫功能还未上线,⽤户数刚破1亿⼤关,张⼩龙在其朋友圈发了⼀条个⼈对互联⽹⼊⼝的观点:“PC互联⽹的⼊⼝在搜索栏,移动互联⽹的⼊⼝在⼆维码”。
⼀年之后,扫⼀扫功能上线,并随着、⽀付、H5的陆续兴起,⼆维码以其快捷的⼊⼝⽅式占领了⽤户索取移动互联⽹服务的“康庄⼤道”。
⼩程序的问世,⽆疑会为⼆维码的兴起再度添砖加⽡。⼀家⾦融机构给出的投资建议,⼆维码服务商名列其中。必须承认的是,⼆维码已经成为这个时代最普及的名⽚种类。“的愿景是连接⼈与⼈,⼈与服务,连接⼀切,⼩程序的场景是线下,扫码获得服务”。也许时隔五年,张⼩龙终于要开始真正验证他
当初的观点了。
但是,⼩程序以⼆维码作为⼊⼝是否安全?(毕竟出现过⼆维码安全问题的案例),⽤户获取服务有了快速通道,但会不会因此风险也成正⽐上升?
先来看⼀下以前⼆维码出现的安全问题:
1.盗⽤⽀付;
2.病毒侵⼊⾮法获得⽤户信息;
如何制作二维码3.没有监管,开发者随意使⽤。
萤连长经过多⽅论证:⼩程序作为⼀款互联⽹产品,风险也是存在的,但相⽐其它类型的⼆维码,风险和犯罪价值较低。
⼩程序可能存在的风险
扫了错的⼆维码
作为⼀个新事物,与⼩程序表现最相似的是H5,可能会有不法分⼦制作⼀个钓鱼或带病毒的H5,挂着
⼩程序的名义让⽤户扫;或者现实中场景中的⼩程序⼆维码被不法分⼦盗换,⽐如车站购票⼆维码,那⽤户信息和财产都将可能遇到威胁。
对⼩程序不熟悉的⽤户如何识别他扫的是不是对的⼆维码?这⾥告诉⼤家⼏个⽅法。
1.从⼆维码识别
⼩程序的⼆维码只能通过扫描识别,在⽆法辨别⼀个⼆维码是否是⼩程序的时候,⽤户可以将该⼆维码拍照保存,然后通过扫描“相册”中的⼆维码或者将该⼆维码发送到,在中长按识别,如果可以识别,那么这就是⼀个“假”⼩程序⼆维码。
2.从域名识别
如果⽤户忽视了上⼀条,扫码进⼊主页之后,在加载页进⾏下拉(加载完之后,有的H5禁⽌了下拉动作),假如可以看到“⽹页由xxx提供”字样,你扫的也不是⼩程序的⼆维码。
3.分享识别
进⼊⼩程序之后,点击右上⾓的“...”,如果出现“分享到朋友圈”、“收藏”、“在其它浏览器中打开”、“复制链接”等字样,这也不是⼩程序。
⼩程序⼆维码会被“⿊”吗?
有没有可能真的⼩程序⼆维码被不法分⼦侵⼊,以盗取⽤户信息?答案是肯定的,但是:
1.⼩程序的⼆维码⽣成⾮常严苛
⼩程序可以⽣成带参数的⼆维码(最初是10000个,现在涨到了100000个),每个带参数⼆维码可以实现不同功能。专业做⼆维码的服务商“草料⼆维码”CEO蒋云晖向萤连长表⽰:⽣成⼩程序⼆维码必须通过固定接⼝,且需开发者提供密钥,如果没有授权,即使是开发该⼩程序的第三⽅服务商也不能随便⽣成该⼩程序带参数的⼆维码。
2.⼩程序⼆维码的安全性较⾼
另外,据“去哪⼉出⾏”⼩程序开发者介绍,⼩程序跟另外⼀个域名进⾏通讯获取数据,会通过⼀套https的加密系统去保证,https协议本⾝是安全的,这块跟App获取数据类似。⼩程序可以配置5个安全域名进⾏数据访问,⼩程序在提交审核的过程中,官⽅对这些域名都会做检查,不安全的访问地址会被拒绝。相较⽽⾔,H5不要求https,传输很可能被⾮法截获。
此外,⼩程序中不能放外链,⽀付也只能通过⽀付完成,整个脉络都在的监管范围内,控制⼒度⾮常⼤。
3.⼩程序违法成本⾼,性价⽐低
⼩程序提交之前,需要对主体进⾏信息确认,包括主体企业名称、营业执照注册号、服务范围、管理员⾝份证姓名、号码、⼿机号等信息,都会审核保障,对主体进⾏备案。如果⼩程序出现问题,被举报,整个⼩程序都将下线,机构也会被警告;问题严重的话,可以直接报警,追查到个⼈,违法成本太⾼
再者,⼩程序因为容量限制,可实现的功能⽐App少很多,即⽤即⾛,属于轻度⽤户产品,所以也不会留存⽤户太多信息,攻破没有太⼤意义。这个问题蒋云晖也做了⼀个形象的⽐喻:费半天劲撬开⼀把⼤锁,但⾥⾯的东西还没有这个锁值钱,聪明⼈谁会这么做?。
如果说有能⼒攻破服务器,相⽐QQ、,⼩程序的信息少之⼜少,所以就不⽤⼩程序来背这个不安全的锅了。
综上所述,⼩程序⼆维码或者说⼩程序⽆论从开发过程、监管平台都⾮常严格,被侵⼊的可能性并不⾼,但为了防⽌被恶意攻击,开发者在提供服务功能的时候,还是在必要环节尽量设置“需要⽤户验证才能访问”,毕竟再⽅便也是要建⽴在安全的基础之上。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。