BadBarcode攻击迫使主机系统执行命令

BadBarcode攻击迫使主机系统执行命令

腾讯的安全研究人员在东京举行的 PacSec 2015会议上介绍了BadBarcode攻击（PDF），演示了如何在条形码中注入特定ASCII控制字符。二维码阅读器通常是一个键盘模拟设备，而二维码协议如Code 128支持ASCII控制字符，因此在条形码中嵌入ASCII控制字符比如快捷键WIN+R，可以诱使二维码阅读器去按主机系统的快捷键，激活特定功能。攻击者可以用它打开或保存一个文件，打开浏览器或执行一个指令。

本文永久更新链接地址：