Миллионы принтеров HP LaserJet оказались под угрозой
… безопасности по тривиальной причине: лазерные печатающие устройства Hewlett-Packard не требуют цифровых подписи или сертификата для установления подлинности дистанционного источника обновления для своего микропрограммного обеспечения.
Исследователи из Колумбийского университета выяснили, что принтеры HP LaserJet, каждый раз, когда на их вход поступает задание вывода на печать, проверяют, входит ли в его состав обновление «прошивки». Всё бы ничего, но принтер не осуществляет никакой проверки подлинности обновления микропрограммного обеспечения — оно вполне способно оказаться поддельным.
Эксперты продемонстрировали зараженный вирусом документ, который был подан на печать HP LaserJet: вредоносный код активировал непрерывный подогрев термофиксатора (представляет собой пару нагреваемых роликов, между которыми проходит бумага с нанесенным на нее изображением, что обеспечивает фиксацию тонера) — в итоге бумага начинала обугливаться, а затем дымиться. Да, термовыключатель остановил работу принтера, прежде чем возникло возгорание, но случаев воспламенения исключать полностью нельзя.
Вторая демонстрация заключалась в следующем: на печать была подана налоговая декларация, зараженный принтер тайком отправил ее на компьютер, который, проанализировав документ на наличие конфиденциальной информации, вытащил из него номера социального страхования и опубликовал их в Twitter.
Самое ужасное в том, что не существует простых способов ликвидации уязвимости, и десятки миллионов корпоративных, домашних и правительственных пользователей оказались под угрозой. Опять же выявить проникший вирус почти что невозможно: для этого придется извлекать микросхемы из принтера и проверять их на зараженность. Не исключено, что подобным дефектом страдают печатающие устройства других производителей. Проблема очень серьезная, так как многие принтеры работают как сетевые устройства, будучи в том числе подключенными к Интернету.
Hewlett-Packard, кажется, забыла, что любой принтер — это тот же компьютер, который, как и всякое вычислительное средство, подвержен атакам злоумышленников, тем более если он подключен к сети. C 1984 года HP продала 100 млн принтеров семейства LaserJet.
© СОТОВИК