BadBarcode เจาะระบบคอมพิวเตอร์ผ่านทางบาร์โค้ด

นักวิจัยจาก Tencent’s Xuanwu Lab ได้ออกมาเปิดเผยงานวิจัยใหม่ที่ใช้บาร์โค้ดที่ถูกออกแบบมาเป็นพิเศษ หรือที่เรียกว่า BadBarcode เข้าควบคุมเครื่องของเป้าหมาย โดยสามารถสั่งให้เป้าหมายรันคำสั่ง หรือให้ทำงานที่ไม่พึงประสงค์ได้

Yang Yu ผู้ก่อตั้ว Tencent’s Xuanwu Lab และทีมงาน Hyperchem Ma ได้นำเสนองานวิจัยดังกล่าวในงาน PacSec 2015 ที่จัดขึ้นที่โตเกียว ประเทศญี่ปุ่น เมื่อสัปดาห์ที่ผ่านมา พร้อมทั้งทำการสาธิตว่า บาร์โค้ดส่วนใหญ่จะประกอบด้วยตัวอักษร ASCII ที่สามารถนำไปใช้เพื่อจุดประสงค์บางอย่าง เช่น เปิด Shell และรันคำสั่งผ่าน Command Line ได้

เครื่องสแกนบาร์โค้ดส่วนใหญ่เสมือนเป็นอุปกรณ์แปลงแถบบาร์โค้ดไปเป็นสัญญาณคีย์บอร์ด อักษร ASCII ที่อยู่ใน BadBarcode จะถูกอ่านและเปลงเป็นสัญญาณคีย์บอร์ดที่มีการกดปุ่มผสานกัน เช่น Ctrl+0 ซึ่งผลลัพธ์ที่ได้ คือ Hotkey ที่ใช้งานฟังก์ชันบางอย่าง ดังตัวอย่างด้านล่างที่ใช้ BadBarcode ในการเปิด Shell บน Windows

Another demo of our talk “BadBarcode” in PacSec 2015: start a shell by one single boarding pass. pic.twitter.com/7ssmyYJsIo

— Yang Yu (@tombkeeper) November 12, 2015

BadBarcode ไม่จำเป็นต้องอยู่ในรูปไฟล์อิเล็คทรอนิกส์ แฮ็คเกอร์สามารถปรินท์บาร์โค้ดออกมาเป็นกระดาษแล้วนำไปทดลองสแกนผ่านเครื่องสแกนบาร์โค้ดเพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ที่เชื่อมต่ออยู่ได้ทันที

ทีมนักวิจัยให้คำแนะนำผู้ผลิตเครื่องสแกนบาร์โค้ดเกี่ยวกับ BadBarcode ว่า ไม่ควรยอมให้ใช้ ADF หรือฟีเจอร์เพิ่มเติมอื่นๆแบบ Default รวมถึงไม่ควรส่ง ASCII Control Character ไปยังอุปกรณ์คอมพิวเตอร์ที่เชื่อมต่ออยู่แบบ Deafault ด้วยเช่นกัน

ที่มา: http://www.net-security.org/secworld.php?id=19109