Hackers kunnen gebruikmaken van streepjescodes om zich, tamelijk eenvoudig, toegang te verschaffen tot de computersystemen achter de bedrijfssystemen. Met behulp van Badbarcode kan met een barcodescanner en een gemanipuleerde streepjescode een schil-venster op een host benaderd worden.
Tijdens de PanSec 2015 die recentelijk in Tokyo plaatsvond, werd dit aangetoond. Streepjescodes bevatten behalve numerieke en alfanumerieke karakters soms ook ASCII-tekens, waardoor dit mogelijk is.
Badbarcode
“Badbarcode kan het hostsysteem in principe elk commando laten uitvoeren”, volgens een van de onderzoekers van het Tencent’s Xuanwu Lab. Een barcodescanner bootst eigenlijk een toetsenbord na. Als daarnaast ook het Code128-protocol wordt ondersteund, kan een cybercrimineel een barcode maken. Na lezing van deze barcode opent deze code een shell op de computer.
Barcodescanner
Hackers hebben al genoeg aan een paar gemanipuleerde en geprinte streepjescodes. Om deze kwetsbaarheid te voorkomen zouden fabrikanten van barcodescanners aanvullende functies van de scanner moeten uitzetten. Verder zouden ze moeten verhinderen dat er ASCII controletekens naar de host verstuurd worden.