
{{aisd}}
AI生成 免责声明
近段时间以来,多地市民反映,自己在扫一些公共二维码时,手机页面竟跳转至涉黄和电诈网站。原本为生活提供便利的“二维码”,为何变成了“涉黄码”甚至“诈骗码”的入口?我们该如何加以防范和管理?来听第一财经广播崔琦的介绍。
拿起手机扫一扫身边的二维码,早已成为我们生活中习以为常的动作。然而,近期却有网友反映,自己在苏州上方山森林公园游玩时,扫描了园区接驳车挡风玻璃左下角的一个二维码,页面却弹出不堪入目的涉黄内容。该接驳车车身贴有“工作用车”字样,二维码紧贴玻璃,看似官方标识。对此园区工作人员回应称,涉事车辆上的二维码是“失效后被盗用”。
【那个接驳车是我们内部的工作用车,已经买了很久了,二维码很久没用,失效了,然后被黄色网站盗用了。现在二维码已经全部清除掉了】
无独有偶,北京也有市民反映,自己在扫描街边一个公共设施上的二维码时,页面同样跳转到了涉黄网站。
记者进一步梳理发现,近段时间以来,多地网友都曾遭遇类似情况。涉事二维码不仅出现在公共设施上,还出现在儿童识字卡、玩具包装盒,甚至是小学美术练习本的封底上。
从景区到城市街头,从玩具包装到公共设施,二维码的“身份”正在被悄然偷换。看似普通的黑白方块,为何会成为非法网站的“入口”?奇安信网络安全专家 裴智勇解释称,二维码之所以会“失效”,根源并不在二维码本身,而在于它背后所指向的域名。
【二维码本质上是一个图形化的数字,我们扫码的时候,实际上就是通过一个专业的解码器把黑白点翻译成一串字符,字符和网址是一样的,它就可以打开网址,我们用浏览器打开一个网站时,上面的网址就称为一个域名。】
裴智勇介绍,目前,国内个人或商业机构想要注册网站,都需要向正规的域名注册商申请域名采购。一次性申购域名的价格,根据域名的字母组合是否简洁好记而价格不同,但通常都在几千元到上万元不等。然而,域名的使用并非一劳永逸。
【一个域名在有效期间,服务商会持续向域名注册商进行付费。当服务终止之后,为了减少成本,服务商不会继续向域名注册商付费。域名注册商就会回收这个域名,再投放到市场当中。这就给一些坏人留出了一些机会,他们会专门盯着某些比如政府、大企业曾经注册过的域名。】
专家强调,扫描二维码却跳转至涉黄网站,最常见的原因就是域名的原注册个人或机构停止续费导致域名被回收后,又被非法网站恶意抢注。不法分子利用公众对公共二维码的信任,将失效二维码篡改为非法网站的引流入口,涉黄网站只是其中一种表现形式;这些城市街头随处可见的二维码还可能成为电信诈骗和信息窃取的“入口”。
工信部信息通信经济专家委员会委员 刘兴亮进一步指出,公共设施上的二维码是各地推行城市智慧管理的一项便民举措,其失效背后,折射出城市精细化管理中存在急需补齐的安全短板。
【简单的一个码可以理解为这是城市基础设施的一个入口,对很多城市来说,数字化进程很快,建设的时候愿意花大力气,但背后的管理没有那么重视,重建设、轻管理,重硬件、轻软件,重链接、轻安全。项目可能三年五年完了,但码没有再重新印刷,一直在那儿,后面就没人管了。如果跳转的最终网站被人修改、劫持,很容易出问题。】
裴智勇则建议,政府单位或企业除了要考虑域名上线使用期间的安全性,还应在提供服务的初期就考虑到当服务停止以后的二维码和域名的回收问题。
【政府部门这个举措本身是便民的,但是从安全的角度来说,应该一开始要考虑它的软硬件回收问题。所有投放出去的二维码在一开始就要制定好它的回收销毁计划,我们叫全生命周期的安全管理规范,从研发阶段到投入阶段、运营阶段、回收阶段,都应该具备完备的安全防护措施。】
当城市街头的每个二维码都变得可疑,由此带来的“信任成本”将是社会治理难以承受的。智慧城市建设安全管理容不得盲区,希望相关部门在大力推进公共服务建设的同时,同步最好后续运维和安全管理,建立起定期巡查,动态更新,安全监测的长效机制,只有责任不掉线,安全才能不掉线。