SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
17 Ноя 2015

Символы в штрих-кодах позволяют осуществлять атаку на сканирующие системы

Штрих-коды распространены очень широко, сейчас сложно себе представить, что когда-то товары распространялись без них.

И именно популярность привлекает внимание злоумышленников к этой системе. Как показали специалисты по информационной безопасности, штрих-коды, если говорить о всей системе, включая считывающие устройства, довольно уязвимы.

Команда исследователей из Xuanwu Lab выступила на конференции PanSec 2015 в Токио, показав несколько типов атак с использованием «отравленных» штрих-кодов. Исследователи работали с несколькими типами сканеров, и все использованные системы оказались уязвимыми — при помощи специальным образом сформированных кодов сканирующую систему можно заставить выполнять практически любые действия, включая запуск шелла и выполнение ряда прочих команд. Сама атака была названа BadBarcode.

Команда Xuanwu Lab показала также, что атака такого типа является достаточно простой, а сказать, какие модели сканеров и сканирующих систем требуют обновления для закрытия уязвимости очень сложно. «Мы не знаем, что могут сделать плохие парни. BadBarcode может заставить систему выполнить любую команду, или даже установить троян», — говорит Янг Ю, один из участников исследования. В прошлом году Ю с командой получил $100000 от Microsoft Mitigation Bypass Bounty.

Ю сказал, что взлом сканирующих систем возможен благодаря тому, что большинство штрих-кодов содержат не только цифры и буквы, но и ASCII-символы, в зависимости от того, какой протокол используется. Сканеры штрих-кодов, в большинстве случаев, это эмулятор клавиатуры. И если сканер поддерживает протокол Code128, где используются символы ASCII, злоумышленник может создать штрих-код, который заставляет компьютерную систему сканера выполнять сторонние действия, вплоть до установки трояна.

Составленные исследователями штрих-коды приводили к выполнению таких действий компьютером, как OpenFile, SaveFile, PrintDialog. Можно и запускать браузер или другие программы. «Мы создали несколько типов атак», — сообщил Янг Ю. «Ключевой принцип — добавление специальных контрольных символов в штрих-код, так что считывающая система будет выполнять сторонние действия. Создать эксплоит типа BadBarcode легко. Нужно только сгенерировать соответствующий штрих код и распечатать его на бумаге», — добавил Янг Ю.

Исправить уязвимость не так и просто, поскольку речь не идет об определенных сканерах. Уязвимости подвержена вся индустрия штрих-кодов. Команда исследователей, разработавшая «отравленные штрихкоды» после своего открытия даже не знала, к какому производителю сканеров обратиться — все они были (и есть) уязвимы. По мнению Янга Ю, производители не должны включать работу сканеров с ASCII по умолчанию. Плюс ко всему, необходимо отключать «горячие клавиши» для систем, которые работают со штрих-кодами.

Теги:
BadBarcode утечка информации
Источник:
Geektimes
1497
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015