A kereskedelem és a logisztika mindennapi eszköze a vonalkód: segít a termékazonosításban, a raktárkészlet nyilvántartásában, a számlázásban, a szállítmány nyomon követésében. Nem a legkorszerűbb, de a legelterjedtebb. Egyelőre még mindig népszerűbb, mint akár a QR-kód, akár az RFID chip.

Mivel a vonalkódok mögött mindig ott van egy informatikai rendszer, kézenfekvő, hogy akár támadási pont is lehet. Legalábbis elméletben. Egy kínai biztonsági kutató alaposan utánajárt, hogy az elmélet hogyan ültethető át a gyakorlatba. Részletes leírásában a hackelés módszerei mellett lehetséges támadási forgatókönyveket is vázolt. Az elemzésről a Biztonságportál készített összefoglalót.

A probléma régóta ismert

Persze nem a kínai szakember találta fel a spanyolviaszt. A biztonsági szakma évek óta tisztában van azzal, hogy a vonalkód akár veszélyes is lehet. Sőt évek óta az is nyilvánvaló, hogy a vonalkód-rendszerek a legegyszerűbb visszaéléstől (például hogy egy vonalkódot klónoznak) az összetettebb támadásokig (SQL injection, cross-site scripting, DoS) sokféle kockázat forrásai lehetnek.

Már azzal is komolyabb károkat lehet okozni, hogy egy olcsóbb termék vonalkódját lemásolják, és azt drágább termékre ragasztják. Ilyen jellegű visszaélések jó ideje történnek.

Tavaly ősszel egy biztonsági kutató, Randy Westergren saját blogján közölt egy a United Airlines rendszerében talált hibát, aminek a kiindulópontja egy ellopott vonalkód volt. A hiba kihasználásával akár járatokat is lehetett törölni a légitársaság rendszerében. A felfedezést később az SC Magazine is leközölte.

Pár hónapja egy tokiói konferencián a Tencent Xuanwu Lab egyik vezetője szintén a vonalkód-rendszereken keresztüli bonyolultabb támadásoknak szentelt terjedelmes előadást. Előadásában lényegében összefoglalta mindazokat az elméleti alapokat, melyeket a kínai blogbejegyzés szerzője a gyakorlatba átültetett.

A vonalkóddal parancsokat is lehet kódolni

Szigorú szabványok gondoskodnak arról, hogy a vonalkódok generálása és beolvasása egységes és gördülékenyen legyen. Egyes formátumok csak számok kódolását teszik lehetővé, de van olyan típusú vonalkódtípus is, a Code128, amely minden olyan karaktert támogatnak, amire egy hackernek szüksége lehet. A Xiaodoubi néven publikáló kínai kutató is ezen az úton indult el, és megpróbált olyan vonalkódokat összeállítani, amelyek mögött valójában végrehajtható parancsok voltak.

A Code128 szesztémája publikus, és rengeteg szoftver van, amivel ilyen típusú vonalkódoz lehet előállítani. Xiaodoubi elsősorban arra építette kíséreletit, hogy a vonalkódokba vezérlőkaraktereket is lehet építeni. Első lépésként elérte, hogy egy vonalkód segítségével elévezhető legyen a CTRL+O billentyűkombinációhoz köthető megnyitás művelet. Ha egy ilyen vonalkódot olyan alkalmazásba szkennelnek be, amely támogatja a CTRL+O (vagy bármely más) kombinációt, akkor a módszer működik, és feltárul a fájlmegnyitáshoz szükséges dialógusablak. Ezzel azonban még nem lehet messze jutni.

Az ADF mindent megbonyolít

Van azonban olyan formátum, a Motorola ADF-je (Advanced Data Formatting), amivel komplexebb utasításokat is le lehet futtatni. Xiaodoubi először létrehozott egy olyan kódot, amely a WIN+R billentyűkombinációt imitálta, azaz megjelenítette a futtatás ablakot. A vonalkódba beillesztette a "c", "m", "d", karaktereket, amivel hozzájutott egy parancssoros ablakhoz. A módszerrel volt egy kis gond: a vonalkód szkennelése gyorsabb volt, mint a felhasználói adatbevitel, ezért a "cmd" még azelőtt élesedett, mielőtt a futtatásra szolgáló ablak megjelent volna. Ennek áthidalása azonban egyszerű volt, mert az ADF-ben van egy késleltető (sleep) parancs is.

A kísérlet további részében a kutató azt vizsgálta, hogy vonalkódokkal miként lehet elősegíteni tetszőleges programok terjesztését. Kiderült, hogy ez sem vészes mutatvány, ugyanis sikerült előállítania egy olyan karaktersorozatot, amivel automatikusan letölthető bármilyen fájl, ami aztán el is indítható.

A vonalkódos hackelések egyik gyenge pontja az, hogy meglehetősen sok vonalkódot kell beolvasni az érdemleges művelet-végrehajtáshoz. Az ADF-fel azonban kombinálhatók a különböző szabályok, így Xiaodoubinak sikerült mindössze négy vonalkóddal sikerült FTP-s vírusterjesztést elindítania.

A vonalkód-leolvasó egy billentyűzet

Az eljárás tehát nem hajtható végre zökkenőmentesen, azaz nem kell attól rettegnünk, hogy hackerek tömegesen indítanak támadást vonalkódrendszereken keresztül. Ugyanakkor a kínai kutató kísérletei világosan megmutatták, hogy a vonalkód is potenciális támadási vektor. A vonalkódolvasó ugyanis olyan adatbevitelei eszközként működik, mintha billentyűzet volna (egyébként sokszor így is jelenik meg a rendszereszközök között), tehát az arról érkező adatokra is úgy kell tekinteni, mintha valaki egy billentyűzetről vinné be azokat.

Az áruházakban egyébként viszonylag könnyű hozzáférni egy beolvasóhoz. Nagyon sok hipermarketben van például árellenőrző vonalkódolvasó, de az önkiszolgáló pénztárak is egyre elterjedtebbek, ahol olyan vonalkódot olvas be a támadó, amilyet csak akar.

A kínai kutató szerint például a lehetőségekhez mérten célszerű letiltani az ADF-támogatását, és a billentyűkombinációk szűrésére is érdemes hangsúlyt fektetni.