黑客可以使用條形碼發動攻擊

中國的研究人員給出了使用條形碼搞垮整個零售網絡的辦法。騰訊玄武實驗室的創始人，在東京PacSec安全會議上演示了使用惡意制作的條形碼引發感染系統上的shell命令。這種新的攻擊類型條形碼可以印刷在紙上，或以電子形式提供上傳圖像，以基于Web的條碼掃描系統進行掃碼。

這種黑客攻擊方式被命名為BadBarcode，依靠過時的條形碼標準和配置不正確的條碼掃描終端存在，通過掃描條形碼編碼的ASCII字符傳達惡意指令，因為有些條碼格式允許ASCII字符被添加到代碼，他可以輕松地模仿鍵盤上的Ctrl鍵。

因此，惡意條形碼掃描出來的不是條形碼終端閱讀的文本，而是可以在主機系統上執行更危險的指令，像是一個shell窗口等等。演示顯示，通過掃描一個簡單的條形碼，或多個條形碼，黑客能夠向目標機器發動的攻擊，讓其下載惡意軟件，或進行其他不必要的操作。

由于零售行業每家商店都有條形碼掃描儀，犯罪分子可能會發現這種攻擊方案非常有吸引力。這種問題修復有點棘手，因為條形碼標準允許創建ASCII字符。最好的辦法是禁止條形碼的鍵盤仿真功能，尤其是讀取系統熱鍵的功能。

轉載自：cnbeta.com