BadBarcode เจาะระบบคอมพิวเตอร์ผ่านทางบาร์โค้ด

นักวิจัยจาก Tencent’s Xuanwu Lab ได้ออกมาเปิดเผยงานวิจัยใหม่ที่ใช้บาร์โค้ดที่ถูกออกแบบมาเป็นพิเศษ หรือที่เรียกว่า BadBarcode เข้าควบคุมเครื่องของเป้าหมาย โดยสามารถสั่งให้เป้าหมายรันคำสั่ง หรือให้ทำงานที่ไม่พึงประสงค์ได้

Yang Yu ผู้ก่อตั้ว Tencent’s Xuanwu Lab และทีมงาน Hyperchem Ma ได้นำเสนองานวิจัยดังกล่าวในงาน PacSec 2015 ที่จัดขึ้นที่โตเกียว ประเทศญี่ปุ่น เมื่อสัปดาห์ที่ผ่านมา พร้อมทั้งทำการสาธิตว่า บาร์โค้ดส่วนใหญ่จะประกอบด้วยตัวอักษร ASCII ที่สามารถนำไปใช้เพื่อจุดประสงค์บางอย่าง เช่น เปิด Shell และรันคำสั่งผ่าน Command Line ได้

เครื่องสแกนบาร์โค้ดส่วนใหญ่เสมือนเป็นอุปกรณ์แปลงแถบบาร์โค้ดไปเป็นสัญญาณคีย์บอร์ด อักษร ASCII ที่อยู่ใน BadBarcode จะถูกอ่านและเปลงเป็นสัญญาณคีย์บอร์ดที่มีการกดปุ่มผสานกัน เช่น Ctrl+0 ซึ่งผลลัพธ์ที่ได้ คือ Hotkey ที่ใช้งานฟังก์ชันบางอย่าง ดังตัวอย่างด้านล่างที่ใช้ BadBarcode ในการเปิด Shell บน Windows

BadBarcode ไม่จำเป็นต้องอยู่ในรูปไฟล์อิเล็คทรอนิกส์ แฮ็คเกอร์สามารถปรินท์บาร์โค้ดออกมาเป็นกระดาษแล้วนำไปทดลองสแกนผ่านเครื่องสแกนบาร์โค้ดเพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ที่เชื่อมต่ออยู่ได้ทันที

ทีมนักวิจัยให้คำแนะนำผู้ผลิตเครื่องสแกนบาร์โค้ดเกี่ยวกับ BadBarcode ว่า ไม่ควรยอมให้ใช้ ADF หรือฟีเจอร์เพิ่มเติมอื่นๆแบบ Default รวมถึงไม่ควรส่ง ASCII Control Character ไปยังอุปกรณ์คอมพิวเตอร์ที่เชื่อมต่ออยู่แบบ Deafault ด้วยเช่นกัน

ที่มา: http://www.net-security.org/secworld.php?id=19109


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …