23 nov. 2015

BadBarcode: ejecutar aplicaciones a través de código de barras

Investigadores del laboratorio de Tencent's Xuanwu Lab han demostrado que puede usarse un código de barras especialmente diseñado para ejecutar comandos en un sistema, instalar malware o realizar cualquier tipo de operación malintencionada.

Yang Yu, fundador del laboratorio y su colega Hyperchem Ma, presentaron su descubrimiento en la conferencia PacSec 2015 celebrada la semana pasada en Tokio. Han demostrado que como la mayoría de los códigos de barras también contienen caracteres ASCII, pueden ser explotados para hacer cosas como abrir una shell y ejecutar comandos en él.
Muchos escáneres de código de barras son dispositivos de emulación de teclado. Los caracteres ASCII en el BadBarcode -forma en que denominador el ataque- pueden ser utilizados simular la presión de ciertas combinaciones y atajos de teclado (por ejemplo Ctrl-R) activar una función en particular (como por ejemplo ejecutar una aplicación).

Ademas, el código de barras no tiene porqué estar en formato electrónico ya que se pueden imprimir y utilizarlos en papel.

"BadBarcode no es una vulnerabilidad de un determinado producto. Incluso es difícil decir que BadBarcode es un problema de los analizadores o el sistemas host", señalaron los investigadores. Además, otros dispositivos de emulación de teclado podrían sufrir el mismo problema.

Para mitigar este problema (potencial), aconsejaron a los fabricantes de escáner de código de barras no permitir ADF(Advanced Data Formatting) u otras características adicionales de forma predeterminada y no transmitir por defecto caracteres de control ASCII a los host. También se podría prevenir este tipo de ataques anulando la lectura de atajos de teclado en las aplicaciones clientes.

Yu ha compartido algunas demostraciones adicionales de ataques aquí y aquí.

Fuente: Net-Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!