Stregkodesystemer er sårbare

Artiklen blev oprindeligt publiceret den 20/11/2015

Sikkerhedsforskere har opdaget en metode til at hacke et system ved at scanne en stregkode.

Det kan lade sig gøre i systemer, der opfatter stregkodelæseren som et tastatur. Koderne i stregkoden omsættes til tegn, som stregkodeapplikationen sender videre til styresystemet.

Hvis applikationen ikke kontrollerer, hvilke typer tegn der må sendes, kan en angriber udarbejde en stregkode, der sender specielle tegnkombinationer. Det kan for eksempel være en kode, der sætter styresystemet til at afvikle en kommando.

Sikkerhedsforskeren der kalder sig Hyperchem Ma, har også fundet en anden sårbarhed. Nogle stregkodelæsere tillader særlige koder, der aktiverer funktioner i læseren. De kan også misbruges.

Anbefaling
Producenter af stregkodelæsere kan mindske risikoen ved ikke at tillade ASCII-kontrolkoder at blive udsendt. Udviklere af systemer, der tager imod input fra stregkoder, bør filtrere kontrolkoder fra – og så vidt muligt undgå at bruge scannere, der emulerer et tastatur.

Links