BadBarcode เจาะระบบคอมพิวเตอร์ผ่านทางบาร์โค้ด

นักวิจัยจาก Tencent’s Xuanwu Lab ได้ออกมาเปิดเผยงานวิจัยใหม่ที่ใช้บาร์โค้ดที่ถูกออกแบบมาเป็นพิเศษ หรือที่เรียกว่า BadBarcode เข้าควบคุมเครื่องของเป้าหมาย โดยสามารถสั่งให้เป้าหมายรันคำสั่ง หรือให้ทำงานที่ไม่พึงประสงค์ได้

Yang Yu ผู้ก่อตั้ว Tencent’s Xuanwu Lab และทีมงาน Hyperchem Ma ได้นำเสนองานวิจัยดังกล่าวในงาน PacSec 2015 ที่จัดขึ้นที่โตเกียว ประเทศญี่ปุ่น เมื่อสัปดาห์ที่ผ่านมา พร้อมทั้งทำการสาธิตว่า บาร์โค้ดส่วนใหญ่จะประกอบด้วยตัวอักษร ASCII ที่สามารถนำไปใช้เพื่อจุดประสงค์บางอย่าง เช่น เปิด Shell และรันคำสั่งผ่าน Command Line ได้

เครื่องสแกนบาร์โค้ดส่วนใหญ่เสมือนเป็นอุปกรณ์แปลงแถบบาร์โค้ดไปเป็นสัญญาณคีย์บอร์ด อักษร ASCII ที่อยู่ใน BadBarcode จะถูกอ่านและเปลงเป็นสัญญาณคีย์บอร์ดที่มีการกดปุ่มผสานกัน เช่น Ctrl+0 ซึ่งผลลัพธ์ที่ได้ คือ Hotkey ที่ใช้งานฟังก์ชันบางอย่าง ดังตัวอย่างด้านล่างที่ใช้ BadBarcode ในการเปิด Shell บน Windows

BadBarcode ไม่จำเป็นต้องอยู่ในรูปไฟล์อิเล็คทรอนิกส์ แฮ็คเกอร์สามารถปรินท์บาร์โค้ดออกมาเป็นกระดาษแล้วนำไปทดลองสแกนผ่านเครื่องสแกนบาร์โค้ดเพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ที่เชื่อมต่ออยู่ได้ทันที

ทีมนักวิจัยให้คำแนะนำผู้ผลิตเครื่องสแกนบาร์โค้ดเกี่ยวกับ BadBarcode ว่า ไม่ควรยอมให้ใช้ ADF หรือฟีเจอร์เพิ่มเติมอื่นๆแบบ Default รวมถึงไม่ควรส่ง ASCII Control Character ไปยังอุปกรณ์คอมพิวเตอร์ที่เชื่อมต่ออยู่แบบ Deafault ด้วยเช่นกัน

ที่มา: http://www.net-security.org/secworld.php?id=19109


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] “ดีลอยท์” เผยผลสำรวจภาคธุรกิจไทยกับการเตรียมพร้อมรับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

72% ของผู้ตอบแบบสอบถามได้เริ่มดำเนินการ หรือดำเนินการเตรียมความพร้อมรับพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล (PDPA) แล้ว กลุ่มธุรกิจบริการทางการเงิน และชีววิทยาศาสตร์และการดูแลสุขภาพ ปฏิบัติตามพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล เป็นอันดับต้นๆ ความกลัวว่าจะถูกปรับหรือถูกฟ้องร้อง โอกาสที่จะเกิดความเสียหายต่อชื่อเสียง และการสร้างความเชื่อมั่นของลูกค้าให้ดียิ่งขึ้นเป็นสามปัจจัยหลักที่ผลักดันให้ดำเนินธุรกิจตามพระราชบัญญัติป้องกันข้อมูลส่วนบุคคล (PDPA) เพียง 29% …

[Guest Post] ดีอีเอส – ดีป้า ปรับไทม์ไลน์ HACKaTHAILAND ตามเสียงเรียกร้อง เดินหน้าขยายเวลารับสมัครแข่งขันแฮกกาธอน พร้อมเนรมิตพื้นที่ย่านบางนาสู่เมืองดิจิทัลเพื่อคนไทย

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และ สำนักงานส่งเสริมเศรษฐกิจดิจิทัล จับมือพันธมิตรภาครัฐและเอกชน ปรับตารางจัดกิจกรรมโครงการ HACKaTHAILAND ใหม่รองรับทุกโอกาสของทุกคนที่อยากมีส่วนร่วมในการเปลี่ยนประเทศ ด้วยการขยายระยะเวลาการเปิดรับสมัครทีมเข้าแข่งขันกิจกรรม HACKaTHAILAND Competition & Beyond Hackathon ถึงวันที่ 15 …