小程序二维码有无安全漏洞?我们做了最完整的调查!丨微头条
是不是你打开的方式不对?
2012年5月23日,微信扫一扫功能还未上线,用户数刚破1亿大关,张小龙在其朋友圈发了一条个人对互联网入口的观点:“PC互联网的入口在搜索栏,移动互联网的入口在二维码”。
一年之后,微信扫一扫功能上线,并随着公众号、微信支付、H5的陆续兴起,二维码以其快捷的入口方式占领了用户索取移动互联网服务的“康庄大道”。
小程序的问世,无疑会为二维码的兴起再度添砖加瓦。一家金融机构给出的投资建议,二维码服务商名列其中。必须承认的是,二维码已经成为这个时代最普及的名片种类。“微信的愿景是连接人与人,人与服务,连接一切,小程序的场景是线下,扫码获得服务”。也许时隔五年,张小龙终于要开始真正验证他当初的观点了。
但是,小程序以二维码作为入口是否安全?(毕竟出现过二维码安全问题的案例),用户获取服务有了快速通道,但会不会因此风险也成正比上升?
先来看一下以前二维码出现的安全问题:
1.盗用支付;
2.病毒侵入非法获得用户信息;
3.没有监管,开发者随意使用。
萤连长经过多方论证:小程序作为一款互联网产品,风险也是存在的,但相比其它类型的二维码,风险和犯罪价值较低。
小程序可能存在的风险
扫了错的二维码
作为一个新事物,与小程序表现最相似的是H5,可能会有不法分子制作一个钓鱼或带病毒的H5,挂着小程序的名义让用户扫;或者现实中场景中的小程序二维码被不法分子盗换,比如车站购票二维码,那用户信息和财产都将可能遇到威胁。
对小程序不熟悉的用户如何识别他扫的是不是对的二维码?这里告诉大家几个方法。
1.从二维码识别
小程序的二维码只能通过扫描识别,在无法辨别一个二维码是否是小程序的时候,用户可以将该二维码拍照保存,然后通过扫描“相册”中的二维码或者将该二维码发送到微信,在微信中长按识别,如果可以识别,那么这就是一个“假”小程序二维码。
2.从域名识别
如果用户忽视了上一条,扫码进入主页之后,在加载页进行下拉(加载完之后,有的H5禁止了下拉动作),假如可以看到“网页由xxx提供”字样,你扫的也不是小程序的二维码。
3.分享识别
进入小程序之后,点击右上角的“...”,如果出现“分享到朋友圈”、“收藏”、“在其它浏览器中打开”、“复制链接”等字样,这也不是小程序。
小程序二维码会被“黑”吗?
有没有可能真的小程序二维码被不法分子侵入,以盗取用户信息?答案是肯定的,但是:
1.小程序的二维码生成非常严苛
小程序可以生成带参数的二维码(最初是10000个,现在涨到了100000个),每个带参数二维码可以实现不同功能。专业做二维码的服务商“草料二维码”CEO蒋云晖向萤连长表示:生成小程序二维码必须通过固定接口,且需开发者提供密钥,如果没有授权,即使是开发该小程序的第三方服务商也不能随便生成该小程序带参数的二维码。
2.小程序二维码的安全性较高
小程序二维码的域名是微信公众平台的域名https://mp.weixin.qq.com/,微信对它的访问途径做了控制,只允许扫一扫识别,其它的接口都已经关闭。而且小程序代码的部分是在微信里运行的,本身的限制比较多,相比H5,安全不少。
另外,据“去哪儿出行”小程序开发者介绍,小程序跟另外一个域名进行通讯获取数据,会通过一套https的加密系统去保证,https协议本身是安全的,这块跟App获取数据类似。小程序可以配置5个安全域名进行数据访问,小程序在提交审核的过程中,微信官方对这些域名都会做检查,不安全的访问地址会被拒绝。相较而言,H5不要求https,传输很可能被非法截获。
此外,小程序中不能放外链,支付也只能通过微信支付完成,整个脉络都在微信的监管范围内,控制力度非常大。
3.小程序违法成本高,性价比低
小程序提交之前,需要对主体进行信息确认,包括主体企业名称、营业执照注册号、服务范围、管理员身份证姓名、号码、手机号等信息,微信都会审核保障,对主体进行备案。如果小程序出现问题,被举报,整个小程序都将下线,机构也会被警告;问题严重的话,可以直接报警,追查到个人,违法成本太高
再者,小程序因为容量限制,可实现的功能比App少很多,即用即走,属于轻度用户产品,所以也不会留存用户太多信息,攻破没有太大意义。这个问题蒋云晖也做了一个形象的比喻:费半天劲撬开一把大锁,但里面的东西还没有这个锁值钱,聪明人谁会这么做?。
如果说有能力攻破服务器,相比QQ、微信,小程序的信息少之又少,所以就不用小程序来背这个不安全的锅了。
综上所述,小程序二维码或者说小程序无论从开发过程、监管平台都非常严格,被侵入的可能性并不高,但为了防止被恶意攻击,开发者在提供服务功能的时候,还是在必要环节尽量设置“需要用户验证才能访问”,毕竟再方便也是要建立在安全的基础之上。
购买《微信力量》送惊喜大礼
长按二维码进入购书通道