Close

17/11/2015

Vírusy sa už nemusia šíriť len cez internet. Prichádzajú hrozby z čiarových kódov

Na bezpečnostnej konferencii PanSec 2015 vedci demonštrovali koncept útoku prostredníctvom čiarových kódov, ktorým dokázali na cieľovom počítači spustiť prakticky ľubovoľný príkaz. Informácie o hrozbe zverejnili v oficiálnej prezentácii.

Útok „BadBarcode“ vychádza z aktuálnych štandardov a nevhodne nakonfigurovaných skenerov čiarových kódov. Pre úspešné vykonanie netreba žiadny špeciálny softvér, stačí iba kolekcia čiarových kódov v tlačenej alebo elektronickej forme.

Dôležitým predpokladom je vloženie špeciálneho riadiaceho znaku do čiarového kódu. Skener znak vyhodnotí ako stlačenie systémovej klávesy (napríklad CTRL) a na cieľovom počítači spustí zodpovedajúcu funkciu.

Spustili príkazový riadok aj kalkulačku

Bezpečnostní experti použili čiarové kódy vytlačené na papierikoch, ktoré v presnej chronológii postupne načítavali. Išlo síce o veľmi nepraktické riešenie, no výsledkom bolo úspešné spustenie kalkulačky.

[vc_video link=“https://video.twimg.com/ext_tw_video/663728433025826816/pu/vid/640×360/nma-I6BI9manA-dr.mp4″ ratio=“16-9″]

V druhom experimente využili elektronickú čítačku kníh Kindle, do ktorej nahrali vopred pripravenú sekvenciu čiarových kódov. Po jej spustení skener čiarových kódov začal okamžite prijímať príkazy. V rámci ukážky sa na notebooku opäť spustila kalkulačka.

[vc_video link=“https://video.twimg.com/ext_tw_video/664806961314033664/pu/vid/640×360/fDqTwKKKiqLFJuX1.mp4″ ratio=“16-9″]

V poslednej prezentácii výskumníci pre demonštrovanie fiktívneho útoku využili špeciálne upravenú letenku s pripraveným čiarovým kódom. Po jej vložení do čítačky sa na cieľovom počítači aktivoval príkazový riadok.

[vc_video link=“https://video.twimg.com/ext_tw_video/664723514167955456/pu/vid/640×360/pqxg8_jI0Kh0p4G6.mp4″ ratio=“16-9″]

ASCII znaky potrebné, no nebezpečné

Vedci v ukážkach stavili skutočnosť, že väčšina čiarových kódov môže obsahovať okrem číselných alebo alfanumerických znakov aj všetky ASCII znaky.

Treba si uvedomiť, že čítačky čiarových kódov sú v podstate emulátormi klávesnice. Ak navyše podporujú vhodný protokol, napríklad CODE128 s plnou podporou ASCII znakov, útočník môže vytvoriť čiarový kód, ktorý by po jeho načítaní otvoril príkazový riadok, a potom do neho priamo zadávať príkazy.

Prostredníctvom uvedeného modelu sa tak dá vykonať ľubovoľný príkaz alebo nenápadne nainštalovať škodlivý kód.

Výskumníci priznávajú, že nevedia presne určiť, či je potrebné zaplátať hostiteľské systémy, skenery, oboje alebo ani jedno z toho. Podpora ASCII znakov totiž bola do štandardu implementovaná z oprávnených dôvodov a má svoje miesto i špecifický význam v maloobchodnej sfére.

zdroj: zive.sk

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *