BadBarcode: Rechner lassen sich per Strichcode manipulieren

Mit geschickt formatierten Barcodes können Angreifer auf an den Scanner angeschlossenen Rechnern bösartige Befehle ausführen. Schließen lassen sich diese Sicherheitslücken nur schwer.

221

(Bild: Tencent's Xuanwu Lab)

18.11.2015, 13:53 Uhr

Lesezeit: 2 Min.

Security

Von

Fabian A. Scherschel

Sicherheitsforscher haben wieder einmal Lücken in Barcode-Verarbeitungssystemen dokumentiert. Sie entdeckten, dass man mit bestimmten Scannern angeschlossene Systeme dazu bringen kann, Schadcode auszuführen – alleine durch das Scannen eines oder mehrerer Barcodes. Den Angriff nennen sie BadBarcode. Dabei nutzen sie aus, dass die Scanner gegenüber dem Host-System als USB-Tastaturen fungieren und man mit speziellen ASCII-Kontrollzeichen Hotkeys aktivieren und so etwa unter Windows ein Ausführen-Fenster öffnen kann.

Böse Barcodes, dumme Scanner

Die zu Grunde liegenden Funktionen, welche die Forscher für ihren Angriff ausnutzen, sind allerdings kein Problem der Barcodes selbst. Auch sind nur die Scanner bestimmter Hersteller betroffen, die allerdings relativ weit verbreitet sein sollen. Besonders einfach kann man Geräte missbrauchen, die das sogenannte Advanced Data Formatting (ADF) unterstützen. ADF erlaubt dem Ersteller des Barcodes, die gescannten Zeichenfolgen mit darin enthaltenen Befehlen zu bearbeiten, bevor sie auf dem Rechner landen. Das macht es besonders einfach, unter Windows Hotkeys zu aktivieren. Prinzipiell funktioniert diese Art Angriff allerdings auch auf anderen Betriebssystemen.

Auch auf dem Raumschiff USS Enterprise gibt es angreifbare Barcode-Scanner.

(Bild: Tencent's Xuanwu Lab)

Um auf dem Windows-Rechner gefährliche Aktionen auszuführen, müssen die Forscher mehrere Barcodes scannen. Außerdem scheint der Angriff auf die Nutzerrechte des gerade angemeldeten Benutzers beschränkt. Allerdings können sie nach eigenen Angaben auch Code aus dem Netz nachladen. Zusätzlich ist es denkbar, dass der BadBarcode-Angriff nur als Einfallstor in das System benutzt wird und dann vorhandene Windows-Lücken missbraucht.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Just another BadBarcode demo, using kindle to make an automatic attack. Seems cooler than turning a dozen paper:-). pic.twitter.com/0vIIQ98EeU

— Yang Yu (@tombkeeper) November 12, 2015

Schützen kann man sich nur schwer

Da die Sicherheitslücken in vielen verschiedenen Scannern auftauchen, wird es lange dauern, alle Lücken zu schließen. Momentan kann man wohl nur versuchen, keine Scanner zu verwenden, die sich gegenüber dem Host-System wie eine Tastatur verhalten. Ist ein solches Gerät im Einsatz, kann man Hotkeys deaktivieren und sollte grundsätzlich dafür Sorgen, dass das Betriebssystem mit den neuesten Sicherheitsupdates versorgt wurde.

Barcodes, die Sicherheitslücken in Scanner-Systemen missbrauchen, sind nicht neu. Schon 2007 wurden auf dem 24C3 ähnliche Angriffe beschrieben. Immer wieder schaffen es Hacker, Barcodes so zu manipulieren, dass auf Kassensystemen (zum Beispiel im Supermarkt), merkwürdige Dinge passieren. (fab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}