EMVCo MPM / CPM
全球每笔商户展示QR支付的基础标准。标签-长度-值框架携带商户名称、城市、国家、货币、金额、收款账户信息和CRC-16/CCITT-FALSE校验和。
我们显示:商户名称、城市、国家、ISO 4217货币(完整表,169个代码)、MCC类别、金额、动态/静态标识、小费指示符、附加数据子字段(参考标签、账单号、客户标签、终端标签、用途)。
威胁评分:CRC校验无效 → 可疑(QR已被篡改或损坏,这是最可靠的贴纸替换信号)。
标准
我们识别的每种QR标准详解
QR码是一个容器。其中可以是支付信息、疫苗记录、驾照、eSIM、通行密钥登录或智能家居配对——每种类型都遵循各自的国际标准,各有其威胁模型。这是我们扫描器所识别的每种标准的权威参考资料:实际内容、我们显示的内容,以及我们刻意屏蔽的内容。
支付标准
过去五年您扫描过的每笔商户付款QR都基于EMVCo的TLV框架,但内容因国家而异。我们识别具体方案,解码付款前需验证的商户字段,并校验贴纸替换攻击者无法伪造的CRC校验和。
Pix (Brazil)
巴西央行即时支付方案。按交易量计为全球领先。两种类型:静态(可重复使用的QR)和动态(嵌入交易ID的一次性QR)。
我们显示:收款人Pix密钥(CPF / CNPJ / 邮箱 / 手机号 / EVP UUID)、付款说明、动态QR URL(如有)。
UPI (India)
印度统一支付接口,按用户数量计为全球最大。UPI虚拟支付地址(VPA)在银行间实时路由支付。
我们显示:收款人VPA、收款人名称、金额、货币、交易参考、MCC、交易备注。
Swiss QR-bill
ISO 20022 SPC v2.2,非EMVCo。取代橙/红色瑞士付款单。33个换行分隔字段,涵盖债权人、最终债权人、最终债务人、参考类型(QRR / SCOR / NON)、账单信息和替代程序。
我们显示:债权人IBAN、完整债权人地址、最终债务人、金额、货币、格式化的参考类型、结构化参考、非结构化消息、eBill替代程序URL。
EPC Girocode (SEPA)
欧洲支付委员会贷记转账QR。在德国、奥地利、荷兰和北欧国家广泛用于发票付款。
我们显示:收款人名称、IBAN、BIC、金额、汇款信息、用途代码。
ZATCA Fatoora (Saudi Arabia)
密码学签名的发票,沙特王国每笔商业交易强制要求。TLV编码,包含五个必填标签(卖方、增值税号、时间戳、总额、增值税金额)和ECDSA签名。
我们显示:卖方名称、增值税登记号、ISO 8601时间戳、发票总额、增值税金额。
以及更多:我们识别54个国家的国家支付方案,包括PromptPay(泰国)、PayNow(新加坡)、DuitNow(马来西亚)、QRIS(印度尼西亚)、Bizum(西班牙)、Swish(瑞典)、MB WAY(葡萄牙)、BLIK(波兰)、Wero(欧盟)等数十种方案,均涵盖在分析器目录中。
健康凭证
疫苗记录、处方、检验结果和旅行证件。由国家卫生机构进行密码学签名。我们识别凭证并显示签发方+类型,但刻意不解码患者姓名、出生日期或病史。查看这些信息请使用您的钱包应用。
SMART Health Cards
数字签名JWS,包装DEFLATE压缩的JSON有效载荷(含FHIR资源)。Apple Wallet、通用信任网络、美国各州、加拿大各省及多家连锁药店用于疫苗和检验记录。
我们显示:签发方URL、签发时间ISO时间戳、凭证类型(covid19 / 免疫 / 检验等)、FHIR版本、资源数量+类型。
我们从不解码:患者姓名、出生日期、接种/检测日期、个人FHIR资源正文。在分析器套件中经测试验证。
EU Digital COVID Certificate (HC1)
HC1:前缀包装了base45 → DEFLATE → COSE_Sign1 → CBOR → CWT链,最终形成EU定义的HCERT声明。COVID紧急状态结束后,部分成员国仍将其用于非COVID旅行证件。
我们显示:签发国(ISO 3166-1)、签发开始时间戳、有效期时间戳、架构版本、凭证类型(接种 / 检测 / 康复)、目标疾病(SNOMED-CT,显示"COVID-19"而非原始代码840539006)、接种/检测国家、签发机构、接种剂次/总剂次、检测类型、检测结果。
我们从不解码:患者姓名、出生日期、接种日期、唯一证书ID(UVCI)。经测试验证。
身份证件
驾照、移动身份证和数字身份钱包。美国驾照背面的条码包含正面的所有字段。移动驾照QR传输连接握手,使验证方可通过NFC / BLE连接读取属性。
AAMVA driver license
美国和加拿大每张驾照背面的PDF417条码。子文件元素格式遵循AAMVA卡片设计标准附录D.12.5。
我们显示(约17个字段):姓/中间名/名、ISO格式出生日期、性别、身高、眼睛颜色、驾照号码(已遮罩)、驾照类别、限制条件、附加认证、有效期、签发日期、完整地址、国家、器官捐献标志、退伍军人标志、未满21岁截止日期。
默认敏感处理:驾照号码和出生日期以点击揭示的遮罩字段显示,确保截图不会造成身份泄露。隐私提示指出,酒吧和俱乐部在扫描证件时会获取所有数据,而不仅仅是持有人的年龄。
Mobile Driver License (ISO 18013-5)
您的iOS / Android移动驾照向验证方出示时显示的mdoc: QR。CBOR设备参与数据,包含密码套件选择器、持有人临时公钥和验证方可用的传输方式列表。
我们显示:协议版本、密码套件(当前强制使用P-256 ECDH-ES + A256KW)、支持的传输方式(NFC / BLE / Wi-Fi Aware)、服务器检索主机(如有)。
我们从不解码:持有人临时公钥字节(仅显示长度)。实际mDL属性在验证方连接后通过协商信道传输,不经过本扫描器。
EU Digital ID Wallet (eIDAS 2.0)
用于跨境身份验证的OpenID4VP和eudi-openid4vp方案。成员国推广正在2024-2026年间加快推进。
我们显示:协议族(openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2)、client_id、response_uri主机名、签名请求流的request_uri主机名、response_mode。
DID URIs
去中心化标识符:did:web、did:key、did:ion、did:ebsi及其他方法。
我们显示:DID方法、方法特定标识符、服务参数、相对引用、验证片段。
身份验证与通行密钥
保护(或危害)您每个账户的QR登录流程。我们识别每种类型,并在QR要求您完成他人登录时发出明确警告。
FIDO CTAP 2.2 hybrid
您的笔记本电脑在用手机通行密钥登录时显示的跨设备通行密钥QR。Base10编码的CBOR映射,包含对端公钥、QR密钥、操作提示、隧道服务器域名、时间戳和状态辅助标志。
我们显示:操作(创建凭证 / 获取断言 / 可发现凭证)、隧道服务器域名(如cable.ua5v.com)、ISO时间戳、是否支持状态辅助、对端公钥长度、QR密钥长度。
严重警告:扫描此QR将完成别人在另一台设备上发起的登录。如果您没有自己发起通行密钥登录,请拒绝扫描——否则您将为生成此QR的人登录您的账户。
HOTP / TOTP (2FA setup)
RFC 4226 / RFC 6238一次性密码设置QR。您的银行或工作应用在注册身份验证器时显示的otpauth:// URI。
我们显示:签发方、账户、算法(SHA1 / SHA256 / SHA512)、位数(6位 / 8位)、周期(TOTP)或计数器(HOTP)、签发方图标URL。
默认敏感处理:Base32密钥以点击揭示方式显示。我们还对密钥进行Base32验证,当密钥格式错误时发出明确警告——身份验证应用会静默接受格式错误的密钥,然后生成永远无法验证的代码。
Authenticator export (otpauth-migration)
Google身份验证器批量导出QR。一次性携带身份验证器中的所有双重验证密钥——包含N个OtpParameters条目的protobuf包。
我们显示(每条):签发方、账户、类型(HOTP / TOTP)、算法、位数、计数器,以及版本/批次元数据。披露内容列举"此包中的授权:ACME / alice@acme;GitHub / bob@github;……",使正在迁移的用户可在导入前进行审核。
我们从不解码:实际密钥种子字节。通过测试用金丝雀字符串验证,这些字符串绝不应出现在任何结果输出中。
严重警告:除非用户确实正在自己的设备间迁移,否则威胁级别为疑似危险。
Sign-In with Ethereum (SIWE / EIP-4361)
您的钱包为向网站证明控制某个钱包地址而签名的纯文本登录消息。
我们显示:网站域名、钱包地址、链ID、随机数、过期时间。
警告:请仔细阅读网站和声明内容——恶意网站可利用已签名的SIWE消息在该域名上冒充您。
旅行与票务
IATA boarding pass (Resolution 792)
航空登机牌上的QR / Aztec / PDF417。固定宽度头部(60字符)加每段37字符的必填数据。
我们显示(每段):承运代码+航班号(去除前导零)、航线(出发地 → 目的地)、日期(儒略日 → ISO格式含智能年份推进)、座位、舱位等级、序列号、状态(已登机 / 可进贵宾室 / 免安检等)。多段登机牌含各段行前缀。
默认敏感处理:PNR /订座参考以点击揭示方式显示,您的姓名加PNR足以在大多数航空公司网站上访问订座。请勿公开发布登机牌照片。
eSIM activation (GSMA SGP.22)
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
我们显示:SM-DP+ FQDN(与您手机通信的运营商服务器)、激活码、是否需要确认码标志。
警告:已安装的eSIM配置文件可拦截短信,包括基于短信的双重验证码。安装前请对照白名单验证SM-DP+是否与您的真实运营商(Airalo、Saily、Truphone、Google Fi等)匹配。
智能家居与物联网
Matter onboarding
连接标准联盟的MT:-前缀base38打包二进制码。跨厂商智能家居配对,兼容Apple Home、Google Home、Amazon Alexa和Samsung SmartThings。
我们显示:供应商ID、产品ID、鉴别码、8位设置密码(已敏感遮罩)、调试流程、发现能力标志(Soft-AP / BLE / 现有IP网络)、规格版本。
Apple HomeKit (X-HM://)
Apple HAP配件设置URI。早于Matter;许多尚不支持Matter的配件仍在使用。
Wi-Fi Easy Connect (DPP)
Wi-Fi联盟设备配置协议,WPS的现代替代方案。用于2025年款路由器的基于QR的设备入网。
Bluetooth Auracast (BAU v1.0)
蓝牙SIG用于LE音频广播的QR方案。服务UUID 184F标识Auracast;我们显示广播名称(base64解码后)和加密状态。
加密货币与Lightning
Bitcoin (BIP-21)
标准Bitcoin支付URI。我们显示地址、金额(含BTC/聪单位)、标签、备注、PayJoin端点(pj=)、BIP-72支付请求URL(r=)、必填参数(req-*)和Lightning回退。
Ethereum (EIP-681)
带链选择的以太坊支付请求URI。我们解码收款方与合约、链ID及人类可读标签(以太坊主网、Optimism、Polygon、Base、Arbitrum、BNB Chain、Gnosis、Avalanche、Sepolia)、价值(wei → ETH/Gwei格式化显示)、函数调用名称、ERC-20转账参数。
警告:合约调用与普通转账不同,钱包窃取程序正是利用用户未察觉此差异来实施攻击。
WalletConnect (ERC-1328)
DApp与钱包配对URI。我们显示版本(v2为当前版本;v1已弃用且安全性较弱)、主题、中继协议、会话对称密钥(已敏感遮罩)。
Solana Pay
Solana基金会的转账请求URI。我们显示收款方、金额、SPL代币铸造地址、标签、参考、消息、备注。
Lightning Network (BOLT-12, LNURL)
BOLT-12报价(lno1…)是可重复使用的Lightning支付请求。LNURL(lnurl1…)用bech32编码HTTPS端点,您的钱包调用该端点以获取发票、提款、开通渠道或身份验证。
Cashu ecash
持有人电子现金代币。与其他所有加密格式的区别在于:QR本身就是钱,任何拍照者都可以花掉它。
默认敏感处理:代币字符串已遮罩;结果明确警告该QR携带未使用的价值。
Nostr (NIP-19)
Bech32编码的Nostr标识符。我们识别npub(公钥)、nsec(私钥,严重警告)、note、nevent、nprofile、naddr、nrelay。
nsec敏感:QR中的Nostr私钥意味着持有人身份已被获取。我们将其标记为凭证泄露。
工业与监管
GS1 Digital Link
将取代消费品一维条码的标准。URL路径中的应用标识符编码GTIN、批次/批号、生产/有效日期、序列号等信息。
我们显示:GTIN(01)、批次/批号(10)、生产日期(11)、最佳食用日期(15)、有效期(17)、序列号(21)及其他AI作为命名字段。
EU Digital Product Passport
欧盟法规要求每件消费品从2027年起携带数字护照(可持续性、来源、维修信息)。基于GS1数字链接URL,解析到各产品护照页面。
QR本身今日通过我们的GS1数字链接分析器解码;URL以外的护照内容由各制造商发布。
VPN与开发者凭证
WireGuard config
INI格式的WireGuard VPN配置。我们显示接口地址、DNS、监听端口、对端端点、允许的IP、持久保活,以及其他对端数量。
默认敏感处理:接口私钥和预共享密钥以点击揭示方式显示。当allowed-IPs为0.0.0.0/0时(全隧道,您的每个字节都经过他人服务器)发出警告。
SSH public key
OpenSSH authorized_keys格式(ssh-ed25519 / ssh-rsa / ssh-ecdsa)。我们显示算法、注释和密钥长度。
X.509 certificate / JWT
PEM格式X.509证书和原始JWT紧凑序列化。我们DER遍历证书以提取主题CN/O、签发方CN、NotBefore/NotAfter和公钥位长度。我们标记已过期的证书。
JWT隐私:我们显示头部中的alg+typ,但从不解码JWT有效载荷声明——其中可能包含账户ID、权限范围或其他不应出现在扫描结果中的密钥。
PGP key block
OpenPGP公钥/私钥块。我们仅显示格式,密钥材料已遮罩。私钥块附有醒目的"请勿分享此QR"警告。
我们解码的符号体系(视觉码本身)
符号体系是*容器*,即点和方块的形状。上述标准是*有效载荷*,即内容。我们的扫描器读取每种开放标准符号体系,并将解码后的文本交给相应的分析器处理。
QR Code (ISO/IEC 18004)
Model 1(1994年原版)、Model 2(当前全球标准)、Micro QR(小型器件)和矩形Micro QR(rMQR,ISO/IEC 23941:2022,用于试管等窄标签)。
Aztec Code (ISO/IEC 24778)
欧洲之星、瑞士联邦铁路及许多欧洲交通登机牌所用的靶心定位符号。
Data Matrix (ISO/IEC 16022)
高密度小格式符号。用于GS1零售、DSCSA制药、MIL-STD-130国防、ATA Spec 2000航空和ISBT 128血液制品标签。
PDF417 (ISO/IEC 15438)
美国/加拿大驾照(AAMVA)、运输标签和FedEx空运单使用的堆叠线性符号。
1-D barcodes
EAN-13、EAN-8、UPC-A、UPC-E、Code 128、Code 39、Code 93、Codabar、ITF,您在每个超市收银台和每个快递标签上看到的线性条码。
为什么这很重要
QR的安全性不等同于其URL的安全性,而取决于管理其内容的标准。支付QR危险是因为有人替换了贴纸;通行密钥QR危险是因为有人想以您的身份登录;疫苗记录QR危险取决于持有扫描器的人是谁。我们针对每种类型分别建模,对应各自的威胁模型,进行字段级解码而非猜测。
上述每个分析器都公开说明其显示和刻意屏蔽的内容,因此您可以通过阅读扫描结果来验证我们的声明,而无需信任一个黑盒子。