哥倫比亞大學(xué)研究人員展示通過病毒控制惠普打印機(jī)

北京時(shí)間11月30日消息，據(jù)msnbc網(wǎng)站報(bào)道，哥倫比亞大學(xué)研究顯示，打印機(jī)成為計(jì)算機(jī)安全的新漏洞，黑客通過控制打印機(jī)，很可能對數(shù)百萬家企業(yè)、消費(fèi)者，甚至是政府機(jī)構(gòu)造成影響。

研究者通過msnbc網(wǎng)站發(fā)布了一個(gè)危險(xiǎn)警告，他們表示，犯罪分子可通過互聯(lián)網(wǎng)遠(yuǎn)程控制打印機(jī)，從而盜取個(gè)人信息、攻擊安全網(wǎng)絡(luò)，甚至是造成打印機(jī)實(shí)體故障。通過對惠普LaserJet系列打印機(jī)進(jìn)行試驗(yàn)，研究者發(fā)現(xiàn)，這一安全漏洞不是輕易就能解決的，其他品牌的打印機(jī)很可能也是這樣。此外，黑客們是否已意識到或者開始利用這一漏洞尚未可知。

在政府和企業(yè)的資助下，研究者們在一個(gè)電子實(shí)驗(yàn)室中進(jìn)行了為期數(shù)月的研究，并于二周前向聯(lián)邦機(jī)構(gòu)遞交了簡報(bào)，匯報(bào)了漏洞的具體情況。上周，他們還將研究結(jié)果告知了惠普公司。

惠普本周一表示，公司仍就此易損性的細(xì)節(jié)進(jìn)行審查，目前尚未不能夠確定或否認(rèn)研究人員提出的結(jié)論，不過，該研究最大的爭議點(diǎn)在于研究者對于安全漏洞廣泛性的表征。

惠普首席技術(shù)專家基思·摩爾（Keith Moore）指出：“公司對于這項(xiàng)研究十分重視。經(jīng)過初步研究，我認(rèn)為這一安全漏洞在現(xiàn)實(shí)世界中被人加以利用的可能性并不高。當(dāng)然，直到我們核實(shí)之后，才方便對此發(fā)表評論。此外，公司暫不能確定哪些打印機(jī)機(jī)型會(huì)受到影響”。

然而，哥倫比亞大學(xué)的研究人員認(rèn)為，這一安全漏洞是很基本的，可能影響到上千萬臺打印機(jī)及其他嵌入式的固件。

安全漏洞的主體主要是諸如打印機(jī)之類的嵌入式固件，為了使計(jì)算機(jī)的功能更加全面，使用者嵌入了越來越多的配套固件，并且通常是接入到互聯(lián)網(wǎng)中的。

哥倫比亞大學(xué)工程和應(yīng)用科學(xué)學(xué)院計(jì)算機(jī)科學(xué)系教授Salvatore Stolfo指出：“問題的關(guān)鍵在于，眾多科技企業(yè)尚未留意到互聯(lián)網(wǎng)的這一個(gè)角落，而我們卻關(guān)注到了。該項(xiàng)研究的結(jié)論是十分明晰的，同時(shí)，這一漏洞的影響是巨大的。這些設(shè)備完全暴露在風(fēng)險(xiǎn)中，很可能被人利用”。

此前，打印機(jī)安全漏洞一直是理論上的，而哥倫比亞大學(xué)的研究者表示，他們已識別出第一例攻擊，并和同事崔昂（Ang Cui）一起，展示了攻擊的過程：黑客通過計(jì)算機(jī)，遠(yuǎn)程命令打印機(jī)的熔凝器持續(xù)加熱，最終使得打印紙受熱燃燒，變成褐色，并且冒煙。

在展示過程中，一個(gè)熱敏開關(guān)自動(dòng)發(fā)力，在火燃燒之前將打印機(jī)暫停。然而，研究者相信，其他沒有熱敏開關(guān)控件的打印機(jī)很可能成為火苗的源泉，計(jì)算機(jī)黑客通過簡單的電腦指令，就可以引發(fā)一場浩劫。

對此，惠普在一份聲明中表示，公司旗下所有打印機(jī)產(chǎn)品都包含著熱敏開關(guān)，將防止打印機(jī)起火。同時(shí)，該熱斷路器不會(huì)因?yàn)楣碳桓淖?，抑或是上述漏洞的影響而停止發(fā)揮作用。

崔昂和Stolfo指出，他們通過逆向工程對普通的惠普LaserJe打印機(jī)安裝了控制軟件，使得這些打印機(jī)通過“遠(yuǎn)程固件更新”的命令實(shí)現(xiàn)固件的更新。打印機(jī)每次接受任務(wù)時(shí)，都會(huì)檢查是否有相應(yīng)的軟件可以更新。然而，他們所研究的打印機(jī)并沒有識別更新軟件來源的能力，無法通過驗(yàn)證源代碼的方式來驗(yàn)證軟件升級的可靠性，因此，任何人都可以控制打印機(jī)，從而刪除其操作軟件和安裝誘殺版本。

哥倫比亞的研究人員聲稱，通過打印一份含有病毒的文件，就足夠使得該打印機(jī)成為控制目標(biāo)。而在一些情況下，打印機(jī)通過聯(lián)網(wǎng)打印資料，意味著病毒可以被遠(yuǎn)程安裝，無需與人接觸即可實(shí)現(xiàn)。

Stolfo指出，這就像買車的時(shí)候沒有拿到鑰匙一樣，完全沒有安全感。