|
Баркодовете са разпространени навсякъде и сега е трудно да си представим, че преди няколко години стоките се продаваха без тях. Експертите от Xuanwu Lab демонстрираха по време на конференцията PanSec 2015 няколко типа атаки чрез специални баркодове. Оказа се, че компютърните системи, включително и четящите устройства са твърде уязвими към атаките от този вид. 
Този вид атака получи името BadBarcode, а специалистите демонстрираха на различни компютърни системи с различни скенери за баркод, изпълнението на всякакви програми, включително и извикване на команден ред и изпълнение на най-разнообразни програми в неговата среда. Експертите съобщиха, че този вид атака е възможна, понеже голяма част от баркодовете съдържат не само цифри и букви, но и ASCII символи, в зависимост от използвания протокол. Скенерите за баркод по принцип са емулатори на клавиатурата. И ако скенерът поддържа протокола Code128, в който се използват ASCII символи и кодове, става възможно създаването на баркод, който заставя компютърната система да изпълни всякакви действия, включително и инсталирането на троянец. Xuanwu Lab показаха баркодове, които изпълняват командите OpenFile, SaveFile, PrintDialog, стартиране на браузър и още много други. Ключов принцип при тази атака е вмъкването на контролни символи в баркода. Експертите допълват, че създаването на BadBarcode експлойт е много лесно - генериране на съответния баркод и разпечатването му на хартия. |
|
