黑客可以使用条形码发动攻击

oschina
 oschina
发布于 2015年11月15日
收藏 16

中国的研究人员给出了使用条形码搞垮整个零售网络的办法。腾讯玄武实验室的创始人,在东京PacSec安全会议上演示了使用恶意制作的条形码引发感染系统上的shell命令。这种新的攻击类型条形码可以印刷在纸上,或以电子形式提供上传图像,以基于Web的条码扫描系统进行扫码。

这种黑客攻击方式被命名为BadBarcode,依靠过时的条形码标准和配置不正确的条码扫描终端存在,通过扫描条形码编码的ASCII字符传达恶意指令,因为有些条码格式允许ASCII字符被添加到代码,他可以轻松地模仿键盘上的Ctrl键。

因此,恶意条形码扫描出来的不是条形码终端阅读的文本,而是可以在主机系统上执行更危险的指令,像是一个shell窗口等等。演示显示,通过扫描一个简单的条形码,或多个条形码,黑客能够向目标机器发动的攻击,让其下载恶意软件,或进行其他不必要的操作。

由于零售行业每家商店都有条形码扫描仪,犯罪分子可能会发现这种攻击方案非常有吸引力。这种问题修复有点棘手,因为条形码标准允许创建ASCII字符。最好的办法是禁止条形码的键盘仿真功能,尤其是读取系统热键的功能。

http://static.cnbetacdn.com/article/2015/1114/5357736a5101a4a.jpg

转载自:cnbeta.com

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:黑客可以使用条形码发动攻击
加载中

最新评论(16

砼砼
砼砼
我就想问问这种攻击性的条形码,最短有多长?
tao_hunter6
tao_hunter6
我用norton snap,扫码安全有保障。。。
松鼠M
松鼠M

引用来自“eechen”的评论

阿里 青龙
百度 白虎
腾讯 玄武
奇虎 朱雀
实验室名字就是霸气!

引用来自“notreami”的评论

突然想到:
左青龙右白虎,前朱雀后玄武

引用来自“krasen”的评论

老牛在腰间,龙头在胸前

引用来自“颠落大帝”的评论

神挡杀神,佛挡杀佛
啊……
百世经纶之傲笑红尘
百世经纶之傲笑红尘

引用来自“eechen”的评论

阿里 青龙
百度 白虎
腾讯 玄武
奇虎 朱雀
实验室名字就是霸气!
我只认识看雪
长宁楚王陈涉
长宁楚王陈涉

引用来自“eechen”的评论

阿里 青龙
百度 白虎
腾讯 玄武
奇虎 朱雀
实验室名字就是霸气!

引用来自“notreami”的评论

突然想到:
左青龙右白虎,前朱雀后玄武

引用来自“krasen”的评论

老牛在腰间,龙头在胸前
神挡杀神,佛挡杀佛
亚洲数据中心
亚洲数据中心
威胁无处不在,处处皆需防范.
Fanxme
Fanxme

引用来自“eechen”的评论

阿里 青龙
百度 白虎
腾讯 玄武
奇虎 朱雀
实验室名字就是霸气!

引用来自“notreami”的评论

突然想到:
左青龙右白虎,前朱雀后玄武

引用来自“krasen”的评论

老牛在腰间,龙头在胸前
左青龙,右白虎,中间一直米老鼠! ^_^
Adpex
Adpex
岂不是条形码都不能乱扫了3
Soi
Soi
13这是要布阵
返回顶部
顶部