【Geekon視頻】於暘:用一張紙入侵企業號星艦

2021-02-22 GeekPwn


於暘在極棒2015安全峰會Geekon中的演講《用一張紙入侵企業號星艦》

演講內容


條碼閱讀器的應用場景非常之多,包括國內很多醫院都已經用條碼來管理病人了,另外還有各種各樣的自助設備、自助服務,我們在國外看到很多超市是可以不要收銀員的,你自己拿著商品,商品上有條碼,掃一下,它統計一下多少錢,你刷一下信用卡,就可以走了。在機場,需要刷一下登機牌的條碼才可以過去,有的城市的地鐵票也是一個條碼。

我今天帶了兩種條碼閱讀器,一個是槍式,一個是坐式。槍式的放在支架上就變成了坐式。槍式拿起來對著條碼按一下按紐,就可以完成,坐式是主動的發射出掃碼的雷射,只要把條碼靠近,就可以完成讀取。槍式往往應用在超市、物流管理、倉儲這些主動使用條碼閱讀器的場合。坐式通常會放在那些提供給用戶自助的場合。

條碼閱讀器的工作原理是比較簡單,首先,他要獲取圖象,因為條碼就是圖象,通常他當中有一個類似於攝象頭的感光元件;第二,他獲取圖象以後,會交給條碼識別晶片,這個晶片的功能就是根據條碼識別的協議和邏輯,對圖象做解碼和轉換,從晶片當中輸出的數據就是0101這樣的數據了,但是,條碼實際上有很多協議,這個晶片通常來說不會只支持一種協議,雖然我們日常使用的協議只有很少的幾種,但是一般來說,做條碼的廠商,他們所使用的晶片裡面是可以處理多種的協議的。因為他們既然要做一個產品,肯定要考慮到兼容性,儘可能兼容多種標準,儘管客戶不會用,我們也要支持。

解碼晶片輸出的數據,會通過數據傳輸的部件,傳遞給使用條碼數據的機器。這個傳輸有串口,有一些是用PS/2口,還有一些是用USB口,還有一些其他的並口,還有一些其他的自定義的類型等等,但是現在看來比較多的還是USB口。

在各種條碼協議尤其一維的條碼協議當中,有一種協議比較有意思,就是叫做Code128,這個協議不僅僅可以編碼可以見的字符,因為我們知道最常見的條碼是用來存儲數字的,有些條碼也可以存儲字母,但是128不僅可以存儲字母和數字,可以支持全部的ASCII字符,而且存儲效能比較高,可以存儲在單位尺寸的條碼當中儘可能多的信息量。另外它有三個可以自定義功能條碼,是一個非常靈活的協議,甚至可以在一個條碼當中混合使用多種字符集,所以當初設計這個協議的設計者,應該是一個非常有野心的人,他覺得我要設計一種協議,你們用我這個就行了,根本不用其他的協議了。雖然128在我們平常使用當中幾乎不可能都用上,但是幾乎所有的條碼閱讀器都支持它。世界上市場佔有率最大的閱讀器的生產廠商,就是Symbol,我今天帶來的都是這個品牌的,它也開創了條碼界的很多新技術,包括一些他們獨有的一些專利,國內也有一些,比如新大陸,都是市場佔有比較大的廠商。

我們的研究,BadBarcode,什麼是BadBarcode,這種攻擊是基於幾點,第一,我們發現大量的條碼閱讀器通信是基於PS/2,或者是HID的鍵盤模擬。第二個,128這個協議是支持完整的ASCII表,也包括這些控制字符。而條碼閱讀器的生產商,為了儘可能的兼容,會支持128。雖然我們條碼裡面存的都是一些數字,頂多是字母,我們想有沒有可能用條碼輸入一些熱鍵,系統熱鍵,這是ASCII的字符表,這裡常用的CTRL對應的鍵都有對應的值,也就是說,通過128協議,我們完全有可能向系統去輸入這些特殊的空置鍵,同時,很多的程序是支持熱鍵的,程序開發的時候,內置了一些默認的熱鍵,這種熱鍵有可能被條碼所激活,但是我們發現128只支持CRTL加上一個字母這種熱鍵,但是不支持WIN的組合鍵,或者ALT的組合鍵。即使只支持非常簡單的組合,它仍然可能對一些終端機造成威脅,因為很多終端機給用戶提供了一個觸屏,雖然那個界面你什麼都幹不了,只能幹它讓你做的事情,但是一旦你有這個觸屏的話,我們如果能用一些熱鍵,把一些系統的對話框調出來,就可以在這個觸屏上該幹什麼幹什麼。

接下來我給大家演示的是今天的第一個DEMO(視頻31分),我稱之為對話框攻擊。這個演示非常簡單,一秒鐘。現在我在系統上打開了這個開發出來的用於條碼輸入的程序,正常情況下,條碼應該輸入的是數字或者是字母。我們現在把這個條碼拿上去,掃一下,這個是正常情況下正常的工作方式。但是如果我們用一個特殊構造的128協議,會怎麼樣呢?不管你的程序是怎麼樣,哪怕你是前臺獨佔的程序,我們通過系統熱鍵可以把對話框調出來,調出來以後,可以在觸控螢幕上操作,執行我想執行的任何程序。這是我說的對話框攻擊。

很多終端機有觸屏,但不是所有的用條碼的設備都有觸屏屏。有的連的主機很遠,你能得到的就是這樣一個條碼的輸出界面,那麼這種情況下,有沒有可能用條碼完成所有的交互?

如果想做到這個事情,我們大家最直接想到的是什麼?就是拿WIN+R把運行的框調出來,然後敲命令執行。128做不到,他不支持WIN。經過研究發現,我們發現Symbol支持一個技術,Symbol是條碼界領頭公司,幾乎全世界很多使用條碼閱讀器的市場佔有率非常大的產品使用了Symbol的設備。ADF是一個相對複雜的功能,它可以實現什麼呢?第一,在條碼讀到設備裡面,沒有發送到主機之前,我們通過ADF定義一些規則,可以對這個條碼做一些更改,同時他可以讓閱讀器做某些特定的動作,是定義之外的,不屬於任何協議的。就是我們可以自己定義自己的協議,比如說,設定某些組合按鍵,而且這些所有的功能可以通過條碼本身實現,並不需要連接到計算機做配置,所有配置通過掃條碼就可以實現。這是ADF的功能,我們列出了更詳細的功能。

接下來我們看第二個DEMO(視頻43分30秒),我們稱之為紙片攻擊,用一張紙入侵企業號星艦。我們在Kindle上寫了一個小程序,實際上這個小程序可以實現什麼呢?你想做的事情,直接在這上面輸入,然後點一個按紐,它就會自動幫你完成這個攻擊,我們這兒默認的是預置了一個彈計算器,我們來看一下。就是說,藉助Kindle的情況下,我們可以把整個攻擊實現一個自動化,你往那兒一丟,人走了沒關係。

總結一下我今天講的內容,首先BadBarcode不是某款產品或某個廠商的漏洞,是一類產品的問題,所有使用PS/2或者HID鍵盤模擬條碼閱讀器的設備都可能受BadBarcode的影響,條碼閱讀器支持ADF的設備可能實現全自動攻擊。條碼閱讀器不支持ADF但有觸屏的也可能被攻擊,其他鍵盤模擬設備也可能有類似問題,比如說RFID,特別是NFC有沒有可能?實際上是一個值得研究的問題,我們也會持續關注這個方面。

我們在此給出一些安全建議,第一,對於條碼閱讀器的生產廠商,建議儘量默認不開啟這個ADF的功能,因為絕大多數買回去用的,你是用不著這些功能的,大家都是用的基本的掃碼功能,如果要開啟的話,提供一個配置程序讓它不要通過條碼就可以激活;同時,如果有可能的話,儘量閱讀器不去傳輸那些控制類的字符,或者說默認不這麼幹,也是可以通過一定接口開啟的,因為絕大多數情況下這是不必要的;另外對於使用條碼閱讀器的這些設備生產廠商,在選型的時候,儘可能不要去選這個基於PS/2或者HID鍵盤模擬條碼,容易的背後是會帶來安全隱患。如果說你現在已經定型了,你已經部署了很多的設備,怎麼解決這個問題?那麼,第一,你在開發程序的時候,儘量不要去啟動熱鍵,不要讓它支持熱鍵,因為可能是用不長的;第二,如果你所使用的有OS熱鍵,那麼屏蔽他,通過這些方式可以阻止BadBarcode的攻擊。


於暘

作為騰訊玄武安全試驗負責人,於暘從事信息安全技術研究十餘年,主要從事安全漏洞、惡意代碼等很多方向的研究,被網友稱為TK教主。於暘不僅名震國內,而且享譽世界,經常被邀請出席國際黑客會議做演講,比如CanSecWest、HlTCon、XCon等。此外,於暘還是微軟漏洞利用緩解技術繞過挑戰全球兩個10萬美元最高獎獲得者之一。

玄武實驗室

玄武實驗室是騰訊在 2014 年新成立的部門。玄武是中國傳統文化「四象」之一。構成玄武的龜和蛇象徵著安全技術的一體兩面:防禦和攻擊。實驗室的定位是:圍繞安全攻防技術,展開面向實用的基礎研究。

GeekPwn微信號將陸續推出Geekon峰會精彩視頻,關注GeekPwn公眾號,盡享前沿技術乾貨。

相關焦點

  • 【求證】用一張紙就能辨別蜂蜜的真假?
    近日,網絡上流傳「用一張紙就能辨別蜂蜜真假」的辦法。這種辦法真的那麼有效嗎?本期《假的真不了》帶您一探究竟。  【實驗】  兩種蜂蜜都會在紙上暈開  記者取出從農家購買的土蜂蜜,蜂蜜的味道很濃鬱,取用時的拉絲也很好。  將一小滴蜂蜜滴在一張紙巾上,起初,蜂蜜的粘稠度使之附著在紙面上,呈現半球形狀。
  • 一張票變兩張紙 高鐵票「無紙化」更費紙了?
    高鐵站自動取票機前的隊伍排得比以往更長一些,身穿紅色小馬甲的志願者應接不暇,不停地解釋道:「這是高鐵票實行『無紙化』的緣故。」不論是上了年紀的叔叔阿姨,還是一身商務裝扮的出差黨,臉上都掛滿了疑惑。 所有人都按習慣在自動取票機上點擊「網際網路取票」,吐出來的不是熟悉的藍色車票,而是一張白色憑條式樣的「購票信息單」。
  • 紙包魚、紙包牛蛙、紙包排骨...用「一張紙」做出的美味,好吃到舔紙!
    給【 武 漢 江 小 魚 】公眾號 發送口令「 紙包魚 」領福利 ( 請注意 !識 別 即 可 發 送 口 令▼ 憑 口 令 回 復 ▼前 500 位魚粉將獲得【 一紙饞紙包魚原價  172 元  の 超值多人餐粉絲獨家福利價僅需 59 元草魚不足時,可以替換紙包雞翅或紙包排骨
  • 《在當地吃得開嗎》中國二維碼引韓國網友熱議,一張紙竟然能收錢
    更多最新資訊,請點擊最下方的【閱讀原文】業務合作洽談、代辦公證認證洽談請添加微信號(同QQ號)46830《在當地吃得開嗎》中國二維碼引韓國網友熱議,一張紙竟然能收錢最近《在當地吃得開嗎》這檔綜藝在韓國非常火,這個綜藝的內容就是韓國的一些明星和廚師在中國開餐館,
  • 澳人驚呼「貨幣入侵」,華人看完氣笑了...
    或者說有些小夥伴沒被騙過,但沒吃過豬肉也見過豬跑,所以用膝蓋想也知道,這些假鈔一定是做的和真鈔
  • 新應用 雙面電子樂譜Gvido活用電子紙顯示器
    Terrada Music Score展出世界首款電子紙雙面樂譜Gvido,以重量厚度相當於一般硬皮樂譜為號召,希望掀起音樂界的樂譜革命。製造Gvido的廠商為從Sony獨立的Vaio,因此Gvido也可視為與隨身聽或CD一樣,流有Sony創意血脈的全新音樂用媒體系統。
  • 入侵華盛頓攻擊白宮!ISIS再發駭人視頻
    ISIS公布了新版的恐嚇視頻。視頻中描繪了入侵華盛頓的景象。這個5分鐘的視頻在支持ISIS的媒體Abd al Faqir Media上發布,視頻中恐怖分子組成的軍隊在街道上突襲,ISIS的噴氣飛機在天空中飛行。
  • 入侵華盛頓攻擊白宮! ISIS再發駭人視頻
    ISIS公布了新版的恐嚇視頻。視頻中描繪了入侵華盛頓的景象。這個5分鐘的視頻在支持ISIS的媒體Abd al Faqir Media上發布,視頻中恐怖分子組成的軍隊在街道上突襲,ISIS的噴氣飛機在天空中飛行。
  • 未獲得食品包裝生產許可證的圓筒紙罐企業將被依法取締
    但是據質監部門負責人介紹,事實上,接觸食品的紙製品並不見得就是合格產品,如果生產企業使用了回收、劣質甚至是添加了螢光漂白劑的有害原料,或者在紙杯中塗工業蠟的話,很容易導致因重金屬攝入過量引發人的記憶力下降、貧血甚至致癌等。自食品實行市場準入制度以後,紙杯、方便麵紙碗等食品包裝紙和容器也有了準入門檻,為了嚴防不合格紙杯等產品上市,市質監局對全市相關生產企業進行了專項檢查。
  • 喜茶、星巴克都在用的紙吸管 究竟是怎麼做出來的?
    而在現調飲品業,包括喜茶、奈雪、星巴克、麥當勞、樂樂茶等企業已率先開始了紙質吸管的嘗試。紙吸管、可降解吸管成為2020年茶飲業最熱名詞之一。被眾多飲品企業當做「禁塑措施」首選之一的紙質吸管,究竟是如何製作出來的?今天我們將通過「崑山智揚機械科技有限公司」(以下簡稱智揚機械)所提供的視頻與圖片資料,作詳細呈現。
  • 稅號,清單列印紙,發票蓋章等16個發票問題
    2.在京東上購物7月14號開具的發票沒有購買方納稅人識別號銀行帳號地址電話可以正常入帳嗎?如發票印製本身就沒有「沒有購買方納稅人識別號」這些欄次,那麼就是不需要單獨體現的 3.企業收到一張發票,開票的稅號是老稅號,發票章是三證合一的組織機構代碼證號,這張發票是否可以收?
  • 40 秒解鎖了一臺加密 iphone:黑客入侵iCloud帳號細節公開,無需任何破解技巧(含視頻)
    【新朋友】點擊標題下面藍字「皮魯安全之家」關注【老朋友】點擊右上角,分享或收藏本頁精彩內容【公眾號】
  • 周五電影:黑鏡:卡利斯特號
    《U.S.S.Callister》卡利斯特號星艦      本集設定的背景是沉浸式虛擬實境遊戲普及的時代,玩家可以戴上「磁體」進入完全真實的遊戲環境。他開發了一款「卡利斯特號星艦」的遊戲,是「無限」的一個副本。他把公司裡人的DNA(通過唾液、精液)等複製出來,轉換成自己童年最愛的劇集《卡利斯特號星艦》的一名船員。在飛船上,船員要對他臣服,否則便會遭到懲罰,變成無臉無法呼吸無法看見的角色,或者變成大蜘蛛怪獸。公司新來的美女科爾也被戴利獲得了DNA,複製進了飛船,但是她擁有自主意識。
  • 真實新娘 | 難以置信,你用一枚「紙戒指」就追到了我?
    今天的這場婚禮有一個浪漫的背景故事,主題叫做「紙戒指 T H E  M E  2013年12月29日,新郎「冰哥」精心準備了蠟燭玫瑰,向剛剛大學畢業的新娘「丫丫」求婚,無奈年少空囊買不起求婚戒指,於是一心想要娶丫丫回家的冰哥,寫了一張欠條並折成紙戒指作為信物
  • 【學堂】無紙化,第四波
    關於第四批出口退稅企業推廣出口退(免)稅無紙化管理試點的培訓通知 各出口企業:現根據市局通知要求從2017年1月1日起在本市全面推廣出口退(免)稅無紙化管理試點工作。我局將於2016年12月29日對第四批次試點企業(企業名單見附件)開展無紙化數字證書發行、使用及出口退(免)稅無紙化管理的相關培訓。
  • 【學堂】無紙化,第三波
    關於第三批出口退稅企業推廣出口退(免)稅無紙化管理試點的培訓通知 各出口企業:現根據市局通知要求從2017年1月1日起在本市全面推廣出口退(免)稅無紙化管理試點工作。我局將於2016年12月26日對第三批次試點企業(企業名單見附件)開展無紙化數字證書發行、使用及出口退(免)稅無紙化管理的相關培訓。
  • 驚人 | 近萬個家庭攝像頭被入侵 隱私視頻被倒賣 專挑對著床的
    近日,浙江麗水景寧縣公安局成功打掉一個網上傳播家庭攝像頭破解入侵軟體的犯罪團夥,抓獲嫌疑人王某,查扣電腦3臺,手機5隻,查獲被破解入侵家庭攝像頭IP近萬個,涉及浙江、雲南、江西等多個省份。入侵攝像頭拍攝私密影像 專挑對準床的警方偵查發現,被入侵的IP位址分布於全國各地,而每個IP對應的就是一個家庭攝像頭,有的家庭可能還裝了多個攝像頭。家庭攝像頭一旦被破解,入侵者就可以控制住攝像頭進行拍攝。犯罪嫌疑人王某:「我就在群裡發一些比較激情,有意思的視頻或者圖片。」
  • 地震無法撼動的信仰:紙教堂
    紙教堂、用紙建的教堂?可以容納700人聚會?耐用50年?  基督城在2011年2月遭遇了一場6.3級強震,地震奪走了185條人命,一座一百多年歷史的教堂也在地震中被毀。民眾沒有了禮拜與禱告聚會的地方。聖公會決定在重建被毀的教堂之前,建一座過渡的教堂  教會請來了日本知名建築師坂茂設計新教堂,坂茂最擅長的就是紙板建築。
  • 悅界 | 本期FUN享:一張餐墊紙,到底有多少種玩法?
    聰明的餐飲品牌,在餐墊紙上花的心思,可不比做炸雞、薯條、漢堡來得少。一起來看看他們的小心思吧——漢堡王近期聯合手遊「部落衝突」推出一款漢堡王餐墊紙,用戶只需把漢堡和可樂放置指定位置,再用 QQ-AR 掃描就能看到野蠻人之王與漢堡可樂的AR 動畫,跳脫平面的限制,著實讓人驚豔。