2015年9月,惠普推出配备有嵌入式安全功能的企业级LaserJet打印机以及多功能一体机(MFP),并声称这些安全功能来自惠普笔记本电脑所使用的安全系统,可以有效应对黑客攻击。
比如图下这个名为《狼》的广告,雷锋网的编辑就在好几个安全会议上看到过。
这家科技巨头声称它提供了“世界上最安全的打印”,在公司最近开展的一项市场营销活动中,还显示了其他供应商的打印机被黑客攻击后,所造成的重大损害。
那主打“安全”概念的这几款打印机,到底能否名副其实?
来自FoxGloveSecurity公司的研究人员决定一试究竟。
他们使用由德国鲁尔大学波鸿分校的研究人员开发的PRET(PRinterExploitationToolkit)程序,对2000美元的惠普PageWideEnterprise586dn多功能打印机以及售价约为500美元的HPLaserJetEnterpriseM553n打印机进行了测试。
当PRET被引入时,研究人员的目标是找到一个可用于远程代码执行(RCE)的漏洞。为了达到这个目的,他们提取了打印机操作系统和固件,并对其进行了逆向工程。
虽然惠普已经实施了一些机制来防止篡改系统,但是研究人员设法绕过了这些系统并获得了对文件的访问权限。
这不仅允许他们可以访问任何打印作业(包括PIN保护作业)的内容,PRET还帮助研究人员发现了可用于操纵打印作业内容的漏洞,并将设备重置为出厂设置。
也就是说,他们不仅能知道你即将要打印的东西是什么,还能对你打印出的东西进行篡改!
目前,研究人员声称已经用它找到惠普,兄弟,利盟,戴尔,三星,柯尼卡,OKI和Kyocer的20台打印机的漏洞。该代码执行漏洞于8月21日向惠普公布。
惠普宣称,已于上周五对漏洞(CVE-2017-2750)进行了修复。该漏洞影响的打印机包括HPLaserJetEnterprise,PageWideEnterprise,LaserJetManaged和OfficeJetEnterprise等。
免责声明:本文章如果文章侵权,请联系我们处理,本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系