这些研究人员还发现,其他供应商生产的打印机也可能存在类似的问题,可能会让这些设备的用户暴露于相同的安全威胁之下。这些研究人员的发现已在新闻网站MSNBC.com予以公布。
惠普激光喷墨打印机中的安全漏洞是哥伦比亚大学工程和应用科学院计算机科学系教授萨尔瓦托勒-斯托尔佛(Salvatore Stolfo)及其同事崔昂(Ang Cui)发现的。斯托尔佛在接受采访时说,这个漏洞存在于惠普激光喷墨打印机的远程固件升级程序中。由于这些打印机的认证措施并不严格,任何人都能够利用随意修改的固件蒙混过关,从而访问这些打印机。固件是固化在集成电路内部的程序代码,负责控制和协调集成电路的功能。
这些激光喷墨打印机并不需要固件升级程序的数字签名,因此,任何人都能够指令这种打印机抹掉它的操作系统并重新写入恶意软件。攻击者可能会完全控制这种打印机,让它无法重启。“这是一个非常糟糕的安全漏洞。”斯托尔佛说。
斯托尔佛表示,他与同事崔研究了三款著名的激光喷墨打印机,结果发现这三款设备中均存在同样的安全漏洞。但是,这两个研究人员并没有透露这些打印机的型号。
斯托尔佛说,任何使用这种打印机的人或者远程访问连接到互联网的这种打印机的人,都能够通过发送恶意软件来控制它。这个漏洞允许黑客窃取打印机中的文档,或者将这种打印机作为跳板,用来攻击与它连接的电脑。还个漏洞还允许黑客向这种打印机发布指令,让上色辊的温度升高。至少从理论上讲,这可能会导致打印机着火。
但是,惠普今日回应称,这些研究人员的说法“并不准确,纯属危言耸听”。“虽然惠普在自己的一些激光喷墨打印机上发现了一些潜在的安全漏洞,但是迄今为止还没有消费者反映有黑客非法入侵。”惠普在今日发布的一项声明中说。它还称,惠普打印机中预先安装的安全保护机制将会防止黑客入侵。惠普还称,黑客无法通过操作打印机的所谓固件来控制打印机中防止过热或自然的装置——热断路器。“那种认为改变固件就能够让打印机着火的想法是极其错误的。”
惠普承认自己的一些激光喷墨打印机存在“潜在的安全漏洞”,并表示它正在努力解决这些漏洞。“惠普正在开发能够解决这个问题的固件升级程序,并将会提前与可能会受到影响的消费者和合作伙伴进行沟通。”惠普在一项声明中说,“与此同时,惠普再次建议用户用防火墙来保护打印机。”
今日在纽约股市收盘时,惠普的股价上涨了1.4%,上涨至26.90美元。
沪公网安备 31011702001106号