Hele bedrijfsprocessen zijn afhankelijk van streepjescodes, maar hackers kunnen die code misbruiken om op relatief eenvoudige wijze toegang te krijgen tot de achterliggende computersystemen. Met een code, genaamd Badbarcode, zijn hackers in staat om met barcode scanners en een gemanipuleerde streepjescode een shell-venster op een host-computer te openen en zo commando’s uit te voeren.
De hack werd afgelopen week tijdens de PanSec 2015 conferentie in Tokyo gedemonstreerd. “Badbarcode kan het hostsysteem in principe elk commando laten uitvoeren”, waarschuwt een van de onderzoekers van het Tencent’s Xuanwu Lab op Threatpost.
De hack werkt omdat veel streepjescode niet alleen bestaan uit numerieke en alfanumerieke karakters, maar soms uit ASCII-tekens. Barcode scanners zijn in wezen toetsenbord emulators en als ze het Code128 protocol ondersteunen, kan een aanvaller een barcode creeëren die wordt gelezen en een shell op de computer opent. Het uitvoeren van de hack is dan ook relatief eenvoudig volgens de onderzoekers. Een kwestie van een paar gemanipuleerde streepjescodes genereren en ze op papier uitprinten.
De hack zou ernstig zijn omdat het niet beperkt blijft tot een specifiek product. Diverse grote fabrikanten van barcode scanners zoals Esky, Symbol en Honeywell, maken producten die hiermee misbruikt kunnen worden. Het misbruik door Badbarcode is te voorkomen als fabrikanten van barcode scanners additionele functies, die los staan van het hoofdprotocol, standaard uitschakelen. Ook zouden ASCII controletekens niet standaard naar de host verzonden moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.