腾讯玄武实验室的创始人,在东京PacSec安全会议上演示了使用恶意制作的条形码引发感染系统上的shell命令。这种新的攻击类型条形码可以印刷在纸上,或以电子形式提供上传图像,以基于Web的条码扫描系统进行扫码。
这种黑客攻击方式被命名为BadBarcode,依靠过时的条形码标准和配置不正确的条码扫描终端存在,通过扫描条形码编码的ASCII字符传达恶意指令,因为有些条码格式允许ASCII字符被添加到代码,他可以轻松地模仿键盘上的Ctrl键。
因此,恶意条形码扫描出来的不是条形码终端阅读的文本,而是可以在主机系统上执行更危险的指令,像是一个shell窗口等等。演示显示,通过扫描一个简单的条形码,或多个条形码,黑客能够向目标机器发动的攻击,让其下载恶意软件,或进行其他不必要的操作。
由于零售行业每家商店都有条形码扫描仪,犯罪分子可能会发现这种攻击方案非常有吸引力。这种问题修复有点棘手,因为条形码标准允许创建ASCII字符。最好的办法是禁止条形码的键盘仿真功能,尤其是读取系统热键的功能。