扫码的陷阱

邱元阳

条码的应用由来已久，它最早被用在图书和食品包装上，后来推广到各种商品。尤其是超市中，所有的商品都要有条码，以方便识别和快速录入。

随着支付宝和微信等各种电子支付手段的普及，二维码扫描成了最方便、最常用的支付方法，社会已然进入了“扫码”时代。不仅仅是支付，扫码还有更多的应用，如扫码关注、扫码加群、扫码下载、扫码播放等，甚至用于交换名片、打开链接、会议签到、文件防伪等，不一而足。

但方便快捷的背后，总会有一些安全问题。尤其是扫码支付，直接涉及到钱财交易，更会引起不法者的注意，他们想法设法寻找各种漏洞，布下种种陷阱。

先看最常用的扫码付款，其扫码方式有两种：主动扫码（主扫）与被动扫码（被扫）。“主扫”是由商户主动去扫描消费者的条码，由商户来输入支付金额，一般使用扫码枪来完成。“被扫”是由消费者扫商户的二维码，支付金额由消费者手动输入。

超市一般都是采用“主扫”模式，方便快捷，不容易出错。由于需要消费者出示自己的付款二维码，可以避免逃付情况，但是这里面仍有漏洞存在——当消费者出示的付款二维码被泄露时（如别有用心的商家在扫码设备上附加拍照装置），就会出现小额盗刷现象。而一些餐馆、门市则大都采用“被扫”模式，不需要任何设备，只要张贴好自己的收款二维码就行了。“被扫”方式下，需要消费者用手机来扫码，少付逃付的情况非常容易发生。比如，故意输入相近的错误数字欺瞒商家，或者虚假扫描（提前准备好扫描结果图片或使用简单的伪装扫描APP），商家根本无法分辨（人多时不可能在手机上查看实时的付款结果）。

在个人面对面收付款的交易中，也有类似情况，但是因为双方手机都有提示，无法作弊。不过老年人和小白搞错收款二维码与付款二维码的情形却是有的，结果会完全颠倒交易方向。

有个笑话中提到，盗贼可以利用偷换商家的收款二维码为自己的收款二维码来坐享其成。这虽然是个笑话，但是却完全有可能，而且正被很多不法分子使用。小型店铺受损的可能性不大，因为常常手机在手，扫码付款时没有提示就会被发现。但若共享单车上的开锁二维码被替换的话，扫码支付200元是有可能会被误认为是支付的注册押金的。等发现开锁不成功为时已晚，支付已经完成。同样，伪造违章停车罚单二维码骗扫，也会让很多人上当。

二维码覆盖和替换，是一种偷梁换柱的陷阱，第三方扫码平台应该提高对扫码结果的识别和监管，研发推广带有安全扫描技术的扫码软件。

即使非支付形式的二维码，也可能是虚假二维码，扫描后不知不觉地被安上病毒和后门，或者打开恶意网址的链接。以安卓系统的手机为例，如果扫描二维码得到的结果是个网址，大部分Android App会直接用Webview来打开，而Webview的UXSS漏洞很容易导致资金被窃、账号被盗或者隐私泄露。

利用二维碼盗刷消费者存款，已成为一种新的犯罪途径，二维码是否正常或藏有病毒，从外观上无法辨别，每个二维码后面都可能隐藏着一个陷阱，使我们步步惊心。

发现漏洞，修补漏洞，这一过程会一直进行下去。对技术的敬畏让我们不可能不担心信息安全问题。如果程序员的聪明才智用在了利用软件漏洞上，后果是很可怕的。