网络安全服务公司IOActive的研究人员周二表示，工业控制系统（ICS）可以通过条形码扫描仪进行入侵。

黑客先前证明，可以通过工业条形码扫描仪将击键远程注入到与扫描仪相连的计算机中，这可能导致计算机受到损害。

IOActive研究人员还一直在研究工业条码扫描器，他们的部分研究（他们在周二发布的博客文章中对此进行了描述）将重点放在机场行李处理系统使用的扫描器上。但是，专家警告说，可以以多种方式利用同一攻击媒介，并且还可以针对其他部门。

研究的这一部分侧重于SICK的产品，SICK是德国的工业自动化应用传感器供应商，尤其是该公司的SICK CLV65X固定式条形码扫描仪，该扫描仪通常部署在机场的自动行李处理系统中。

这些设备可以扫描“配置文件编程”条形码，其中包括自定义CODE128条形码。扫描这样的条形码可能会导致设备设置的更改，而这无需主机即可直接完成。

问题在于，此过程不涉及任何身份验证机制，从而使攻击者可以创建恶意条形码，当该条形码被易受攻击的扫描程序扫描时，会导致所连接的设备无法使用，或者更改其设置，以促进进一步的攻击。

IOActive研究人员使用逆向工程找出了用于生成配置文件编程条形码的逻辑，并确认它们与特定设备无关。

IOActive于2020年2月下旬将其调查结果报告给SICK，供应商于5月31日发布了一份咨询报告。

“与他的控制之下的能力提出了特殊的条码到受影响的设备的攻击者，并启用‘轮廓编程’，能够在没有任何认证需要更改配置，” SICK在说咨询。“这可能会影响可用性，完整性和机密性。”

SICK已建议客户禁用概要文件编程功能，该功能默认情况下处于启用状态。该公司的咨询包含有关如何禁用此功能的详细说明。