压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在不久前的倫敦舉行的44Con大會上Context Information Security的Mike Jordan演示了如何利用佳能的Pixma打印機的Web界面修改打印機的固件從而運行Doom游戲。

　　Mike Jordan可以通過遠程訪問這臺打印機的Web界面， 打印無數的文件從而把噴墨耗盡。 Mike Jordan發現， 佳能的固件更新流程存在漏洞， 對固件更新沒有進行簽名， 只是做了簡單的XOR加密。 而通過對加密的破解， Mike Jordan可以很容易的用一個惡意的“固件更新”來欺騙打印機進行更新。 在演示中，他安裝了Doom游戲。

　　這樣的原理可以很容易用來在打印機中植入木馬來盜取打印的文件。 或者通過打印機建立一個進入公司內網的通道。

　　Context Security Information的團隊過去也曾經展示過入侵其他物聯網設備(如智能燈泡， IP相機， NAS)這些入侵顯示了物聯網的安全性堪憂。 “最新的對佳能打印機的入侵演示顯示了新興的物聯網設備的安全問題嚴重， 因為制造商急于把這些設備進行聯網，從而忽略了安全問題。 在佳能打印機的案例里， 打印機的Web界面對用戶登入甚至沒有認證。 使得任何人都可以連接到這臺設備。 不過， 真正的問題在于固件更新的流程。”Mike Jordan在博客中寫道。

　　“如果你能觸發固件更新， 你就也能夠更改Web代理的設置和DNS服務器，從而可以讓打印機到你指定的地址去檢查更新， 安裝任意代碼。 在我們的演示中，我們安裝了Doom游戲。”

　　利用Internet搜索引擎Shodan， Context Information Security的團隊搜索到了32000個IP地址的打印機， 對其中的9000個地址的測試中， 他們發現可1822個IP地址有回應，而其中122個可能存在可以被入侵的固件。 “即便打印機沒有直接連接到互聯網，比如通過NAT在內網，這些打印機依然存在被遠程入侵的可能性。” Mike Jordan寫道。