【摘要】二维码嵌入攻击是一种劫持攻击手段。扫码软件依赖于定位图案与静区以确定二维码所在位置。由于定位图案与静区的视觉特征显著,现有的攻击手法无法应用于实际攻击场景。该文提出并验证了一种基于无痕嵌入的二维码不可见劫持攻击方案。通过对恶意二维码定位图案的修改,可以隐藏恶意二维码,从而对指定软件实施针对性的攻击;通过对静区的隐藏,可以使嵌入位置难以被发现。测试结果表明:该方案可以在隐藏视觉特征的情况下实施有效的攻击,并可以实现对微信与支付宝的选择性攻击。