heise Security

BadBarcode: Rechner lassen sich per Strichcode manipulieren

Fabian A. Scherschel

(Bild: Tencent's Xuanwu Lab)

Mit geschickt formatierten Barcodes können Angreifer auf an den Scanner angeschlossenen Rechnern bösartige Befehle ausführen. Schließen lassen sich diese Sicherheitslücken nur schwer.

Sicherheitsforscher haben wieder einmal Lücken in Barcode-Verarbeitungssystemen [1] dokumentiert. Sie entdeckten, dass man mit bestimmten Scannern angeschlossene Systeme dazu bringen kann, Schadcode auszuführen – alleine durch das Scannen eines oder mehrerer Barcodes. Den Angriff nennen sie BadBarcode. Dabei nutzen sie aus, dass die Scanner gegenüber dem Host-System als USB-Tastaturen fungieren und man mit speziellen ASCII-Kontrollzeichen Hotkeys aktivieren und so etwa unter Windows ein Ausführen-Fenster öffnen kann.

Böse Barcodes, dumme Scanner

Die zu Grunde liegenden Funktionen, welche die Forscher für ihren Angriff ausnutzen, sind allerdings kein Problem der Barcodes selbst. Auch sind nur die Scanner bestimmter Hersteller betroffen, die allerdings relativ weit verbreitet sein sollen. Besonders einfach kann man Geräte missbrauchen, die das sogenannte Advanced Data Formatting [2] (ADF) unterstützen. ADF erlaubt dem Ersteller des Barcodes, die gescannten Zeichenfolgen mit darin enthaltenen Befehlen zu bearbeiten, bevor sie auf dem Rechner landen. Das macht es besonders einfach, unter Windows Hotkeys zu aktivieren. Prinzipiell funktioniert diese Art Angriff allerdings auch auf anderen Betriebssystemen.

Tencent's Xuanwu Lab
Auch auf dem Raumschiff USS Enterprise gibt es angreifbare Barcode-Scanner.
Bild: Tencent's Xuanwu Lab

Um auf dem Windows-Rechner gefährliche Aktionen auszuführen, müssen die Forscher mehrere Barcodes scannen. Außerdem scheint der Angriff auf die Nutzerrechte des gerade angemeldeten Benutzers beschränkt. Allerdings können sie nach eigenen Angaben auch Code aus dem Netz nachladen. Zusätzlich ist es denkbar, dass der BadBarcode-Angriff nur als Einfallstor in das System benutzt wird und dann vorhandene Windows-Lücken missbraucht.


Schützen kann man sich nur schwer

Da die Sicherheitslücken in vielen verschiedenen Scannern auftauchen, wird es lange dauern, alle Lücken zu schließen. Momentan kann man wohl nur versuchen, keine Scanner zu verwenden, die sich gegenüber dem Host-System wie eine Tastatur verhalten. Ist ein solches Gerät im Einsatz, kann man Hotkeys deaktivieren und sollte grundsätzlich dafür Sorgen, dass das Betriebssystem mit den neuesten Sicherheitsupdates versorgt wurde.

Barcodes, die Sicherheitslücken in Scanner-Systemen missbrauchen, sind nicht neu. Schon 2007 wurden auf dem 24C3 [5] ähnliche Angriffe beschrieben. Immer wieder schaffen es Hacker, Barcodes so zu manipulieren, dass auf Kassensystemen (zum Beispiel im Supermarkt), merkwürdige Dinge passieren. (fab [6])


URL dieses Artikels:
https://www.heise.de/security/meldung/BadBarcode-Rechner-lassen-sich-per-Strichcode-manipulieren-2923662.html

Links in diesem Artikel:
  [1] http://de.slideshare.net/PacSecJP/hyperchem-ma-badbarcode-en1109nocommentfinal
  [2] https://atgsupportcentral.motorolasolutions.com/content/emb/docs/manuals/6968004a.pdf
  [3] https://t.co/0vIIQ98EeU
  [4] https://twitter.com/tombkeeper/status/664807110081798144
  [5] https://www.heise.de/security/meldung/24C3-Barcode-Systeme-anfaellig-fuer-schwere-Hackerangriffe-174111.html
  [6] mailto:fab@heise.de