04 декабря 2023 г., понедельник

Отраслевые мероприятия (Беларусь)

1 мая, 2021

Беспилотные летательные аппараты – новые технологии

1 мая, 2021

Новая линейка модернизированного оборудования от Ровалэнт

1 мая, 2021

Интеграция в СКУД, видеоаналитика с функцией алкотестирования на базе BIOSMART, SIGUR, TRASSIR, «Лазерные системы» представит Совершенные системы

1 мая, 2021

JABLOTRON в Беларуси!

1 мая, 2021

Новые взрывозащищенные решения от компании «Эридан»

1 мая, 2021

Интеграционные возможности HikCentral и новые продукты от Ajax на стенде БайТехСервис

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
На PacSec продемонстрировали атаку на сканеры штрихкодов
24 ноября, 2015

На PacSec продемонстрировали атаку на сканеры штрихкодов

Группа исследователей из Xuanwu Lab продемонстрировала в Токио, на конференции PanSec весьма необычный вектор атак. Исследователи предложили атаковать различные системы через сканеры штриходов. Дело в том, что сканеры, по сути, выступают неким аналогом клавиатуры, то есть поддерживают цифры, буквы и даже ASCII-символы, если используется протокол вроде Code128. Если «скормить» такому устройству созданный определенным образом штрихкод, можно добиться многого.

Один из исследователей команды Xuanwu Lab — Янг Ю (Yang Yu) опубликовал в своем Twitter несколько видео, с примерами эксплуатации уязвимости. Один из роликов, к примеру, демонстрирует, как обычный посадочный талон может быть использован для взлома компьютеров аэропорта, ведь сканеры штрихкодов используются не только в магазинах:

Исследователи назвали данный тип атак BadBarcode и отметили, что он очень прост в использовании. Хотя деталей команда пока не раскрывает, известно, что в ходе разработки данного вектора атак, группа работала с самыми разными моделями сканеров (в частности, с устройствами компаний Esky, Symbol, Honeywell и TaoTronics), но все они оказались уязвимы. При помощи вредоносных штрихкодов сканер можно заставить сделать практически все, включив в штрихкод не только буквы и цифры от 0 до 9, но и другие символы. В итоге сканер, фактически, исполняющий в системе функции клавиатуры, способен «напечатать» любую заложенную злоумышленниками в штрихкод команду, и даже воспользоваться «горячими клавишами», если такая возможность не отключена (чаще всего, нет). Можно просто открыть браузер, можно запустить программу, запустить шелл, установить в систему малварь, злоумышленник ограничен только собственной фантазией. Понадобится лишь сгенерировать нужный штрихкод и его распечатать. Или не печатать, к примеру, один из твитов Ю демонстрирует атаку с применением Amazon Kindle, на экран которого выводятся штрихкоды:

«Сканеры модели, которая использована в демо с посадочным талоном, широко используются в аэропортах по всему миру, — рассказал Ю изданию Motherboard. — Но BadBarcode это не уязвимость в каком-то конкретном продукте, эта проблема затрагивает вообще все отрасли, где  используются сканеры штрихкодов».

Исправить данную уязвимость будет очень непросто. Даже сами исследователи не знают, какого рода патч здесь нужен: стоит ли производителям сканеров патчить свои устройства, или исправления стоит выпускать сразу для конечных систем, с которыми работают сканеры. В одном исследователи уверены точно: производителям определенно стоит отключать поддержку ASCII-символов, а в системах, работающих со сканерами, не должно быть поддержки «горячих клавиш».

Источник: xakep.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.