藏在身边的“泄密者”：别让打印机成为漏洞

来源：tvt体育app下载    发布时间：2025-11-03 22:08:56

  今年的上安会，笔者有幸亲自参观了现场。出席上安会的各个厂商代表围绕着或传统或新颖的安全需求，推出各式各样的服务和产品。但让笔者感到惊奇的，是富士（Fuji）也推出了他们的安全服务。

  作为一家在数码相机领域名列前茅的企业，富士的打印机也是其业务增长的主要支柱。富士胶片 2025 财年第一季度（2025 年 4 月 1 日至 2025 年 6 月 30 日）财报显示，其影像业务保持增长，营收达到 1453 亿日元（约合 69.7 亿元人民币），同比增长 11.2%，盈利 418 亿日元（约合 20.1 亿元人民币），为四大业务板块中最高，同比增长 28.4%。在“保障信息安全”的背景下，富士结合自己对打印机安全的实践探索，在上安会上推出了商业化的服务方案。

  实际上，打印机（尤其是联网的多功能一体机）作为办公和家庭场景中的关键设备，其信息安全风险常被忽视，但随着设备智能化、联网化程度提升，其潜在的安全漏洞可能会引起数据泄露、设备被劫持甚至成为网络攻击的“跳板”。

  打印机在工作过程中会产生大量数据缓存或存储，成为信息泄露的 “隐形源头”：

  本地缓存泄露：多数打印机（尤其是多功能一体机）会临时缓存打印、扫描、复印的文档内容（包括文本、图像、敏感数据如合同、身份证复印件等），这些缓存通常存储在设备硬盘或内存中，若未及时清洗整理，可能被后续用户、修东西的人或黑客通过物理接触、远程访问提取。例如，2018 年某机构回收旧打印机时，未清理硬盘缓存，导致大量内部文件被第三方恢复；

  敏感数据残留：部分打印机配备可插拔硬盘或 SD 卡，用于扩展存储，若设备报废或维修时未彻底格式化存储介质，敏感数据可能被恶意利用；

  日志信息泄露：打印机日志会记录用户操作记录、IP 地址、打印内容摘要等，若日志未加密或权限管控不严，可能泄露用户行为或业务信息。

  联网打印机（有线 / 无线连接）直接接入企业内网或互联网，面临网络层的攻击威胁：

  未加密通信漏洞：打印机与终端、服务器之间的通信若未采用加密协议（如 HTTP 而非 HTTPS，未启用 IPsec/VPN），数据在传输过程中可能被中间人攻击（MITM）拦截，导致打印内容或配置信息泄露；

  远程控制与劫持：若打印机启用了远程管理功能（如 Web 管理界面、SNMP 协议）但未严格限制访问权限，黑客可能通过弱密码、漏洞利用远程登录设备，篡改配置（如修改打印队列、植入恶意指令），甚至将设备作为跳板入侵内网其他系统；

  僵尸网络劫持：存在漏洞的打印机可能被植入恶意程序（如 Mirai 变种），加入僵尸网络，用于发起 DDoS 攻击（例如 2017 年全世界内大量打印机被远程操控打印恶意文档）。

  固件漏洞：厂商为快速推出产品，可能忽视固件安全审计，导致漏洞（如缓冲区溢出、命令注入）被利用。例如，2022 年某品牌打印机固件存在漏洞，黑客可通过特制打印任务远程执行代码；

  弱默认配置：打印机出厂时可能启用不必要的服务（如 FTP、Telnet）、默认弱密码（如 “admin/admin”）或开放过多端口，且未强制用户修改，导致设备 “裸奔”；

  第三方组件风险：打印机若集成第三方软件（如扫描 OCR 工具、云打印插件），其组件漏洞可能传导至设备，例如插件存在逻辑缺陷导致权限绕过。

  物理接触攻击：没有经过授权人员可通过物理接入打印机（如插入恶意 U 盘、连接笔记本）植入恶意软件，或直接操作设备获取缓存数据；

  供应链后门：打印机生产、运输或维修环节可能被植入恶意固件或硬件后门，导致设备从出厂即存在安全风险隐患（类似 2015 年 “棱镜门” 中暴露的硬件监控风险）；

  耗材安全漏洞：部分打印机依赖芯片验证耗材（如墨盒、硒鼓），若第三方耗材芯片存在漏洞，可能被用于绕过设施安全限制，甚至注入恶意代码。

  权限管理混乱：企业内打印机若未划分用户权限（如所有人均可访问管理界面、修改配置），可能会引起越权操作；

  缺乏定期维护：用户或管理员未定期清理缓存、更新固件、审计日志，导致漏洞长期存在；

  安全意识薄弱：用户随意打印敏感文档后未及时取走，或通过公共打印机处理私密信息（如病历、财务数据），增加物理泄露风险。

  打印机作为 “边缘设备”，其安全风险常因 “功能优先” 的思维被忽视，但随着联网化和数据交互增多，打印机已成为网络安全的重要一环。保障打印机安全需结合技术防护（加密、漏洞修复）、管理规范（权限管控、日志审计）、用户意识（操作规范） 三方协同，避免因单点漏洞引发全网安全连锁反应。对公司而言，建议将打印机纳入整体网络安全体系，定期开展安全评估，而非孤立对待。

  综上，为了让更多人了解打印机安全的风险，安在新媒体面向公众，打造“一分钟安全讲堂”“20秒安全科普”等图文、视频公益栏目，宣传普及办公、生活、出行、消费过程中的安全风险，提升全民安全意识。

  面向社群用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

  视频课程将文字、图像、图形、声音、动画于一体，将网络安全知识内容在极短的时间内传达给受众，相比文字或图片，视频更能够吸引用户注意力，并快速提升认知度。

  图文讲义可以细致地展现出各类安全风险的危害，企业可将其以展板、易拉宝形式放置于办公区域，持续性加深员工的安全意识。

  安在新媒体面向社群用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

  特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

  惊！广东一男子翻出35年前兑换券，麦当劳称仍可使用！当事人女儿：打算一直珍藏

  北京：9月2日22时至9月3日14时，部分区域实施无线座混动MPV降9万，油耗5.88L吃92油，这回真拼了！

  越级挑战完胜！锐龙5 9600X/RX 9060 XT游戏对比U7 265K/RTX 5060