靠一張紙就能駭進資訊系統

駭進資訊系統,有時候只需要一張紙。這聽起來像是天方夜譚,卻是可能發生的。

想像一下在機場登機的情況,為了確認乘客登機,登機閘門的服務人員會逐一掃描乘客的登機證,而這個大家習以為常的驗票程序,可能就是未來駭客入侵的第一步。

問題就出在登機證的條碼,騰訊的資訊安全研究部門──玄武實驗室,日前已成功驗證這種惡意條碼攻擊「BadBarcode」的可行性,透過變造過、內含執行指令訊息的惡意條碼,讓條碼掃描器把條碼內含有執行指令的訊息送給電腦,達到操控電腦的效果。

從以下騰訊玄武實驗室公開的攻擊驗證影片可見,當條碼掃描器掃描到特定條碼時,電腦就會自動執行程式。此一攻擊主要利用目前多數條碼掃描器都支援的HID鍵盤模擬功能,例如攻擊者將鍵盤的快速鍵指令轉換為ASCII碼,再將其與條碼訊息整合,印出一個肉眼根本看不出內藏詭計的條碼,一旦條碼掃描器解析了條碼訊息後,將其傳送給電腦,若電腦端無過濾機制,應用程式就會照著所接收到的鍵盤指令執行,像是應用程式往往內建許多可快速執行開啟檔案、儲存檔案等等的熱鍵指令。

BadBarcode的另一種可行的攻擊方法是利用條碼掃描設備普遍支援的ADF(Advanced Data Formatting)功能,ADF可將條碼掃描器掃描的資訊依照程式預先設定好的原則,先編輯組合成應用程式需要的特定格式,例如加上字元等,這對有心人士而言就有可乘之機。

騰訊玄武實驗室負責人予暘在一次演講中指出,BadBarcode甚至可以觸發緩衝區溢位(Buffer Overflow)攻擊、SQL Injection與XSS(Cross-site scripting)攻擊等。由於條碼在生活上的應用相當廣泛,而此一攻擊的問題亦非單純是條碼或掃描器的問題,而是整個條碼應用系統的問題,所以予暘建議不要預設開啟ADF功能、不要對於條碼掃描器傳來的ASCII碼照單全收,同時最好也不要選擇支援鍵盤模擬的條碼掃描器,或是禁用熱鍵功能。而從POS應用系統或Kiosk等系統端過濾不該使用的資訊,也是可行的解決方法。

騰訊玄武實驗室進一步發現條碼掃描器可以掃描Amazon Kindle電子書的電子紙螢幕,於是以Kindle來顯示惡意條碼,甚至可以達到更快速自動的攻擊。


更多 iThome相關內容

Advertisement