一般來說,會遭到惡意攻擊的OS,都是像Windows這類的作業系統,近來隨著行動環境逐漸成熟,行動平台也開始被駭客們注意,而像印表機這類嵌入式系統,以往多半不太受「青睞」。不過,這畢竟只是一廂情願的推論,畢竟全球數以億計的印表機就已是夠「誘人」的市場,而在實際技術上,今年的「混沌交流大會」(Chaos Communications Congress),則充分的展示了可行性。
有數十年歷史,歐洲最大的駭客組織「混沌電腦俱樂部」所舉辦的年度活動,今年邁向第28個年頭,而其中由Ang Cui所演示的Print Me If You Dare測試,可說是全場最大亮點。Cui以全球超過4成市佔率的惠普印表機為對象,以兩種方式展示了如何「操弄」內部的嵌入系統:第一個例子,Cui讓該印表機複製了它剛剛列印的文件檔案,並將其張貼到其指定的IP位址;第二個例子,他以一個惡意文件檔接管了一部遠端的印表機,並讓其掃描附近區域網路(LAN)毫無防備的電腦,再透過將該電腦轉為代理伺服器(Proxy),進而獲得通過防火牆的權限。
Ang Cui並補充了一個現實中可以應用上訴作法的情境:寄履歷(惡意檔案)給應徵的公司,只要該公司將履歷印出來,你就可以完全入侵該公司區域網路內的電腦─從常態來說,也就是公司內的每一部電腦。在發現這樣的安全問題後,給了惠普一個月的時間發布更新檔,所以現在有惠普印表機的使用者,可以稍微鬆一口氣,只是Cui也指出,儘管未再作其他測試,他相信其他品牌的印表機,或者任何使用類似嵌入系統的設備─如路由器等,可能也有這類的漏洞。
有趣的是,部分媒體在Ang Cui首次揭漏時誤解了他的意思,結果不少報導都以為他發現了把印表機稿「爆炸」的方法─Cui以一張有點黃黃、略帶焦味的列印紙張澄清,他最多只能把印表機的溫度,提升到這種程度而已。
來源:boingboing
