I ricercatori dell’Intrusion Detection Systems Lab presso la Columbia University hanno reso nota l’esistenza di una falla presente all’interno di certe stampanti LaserJet di HP, potenzialmente in grado di permettere l’installazione di software malevolo o (peggio ancora) spingere la stampante stessa a prendere fuoco con istruzioni impartite da remoto.
Il team del professor Salvatore Stolfo è specializzato nel dare la caccia alle vulnerabilità presenti nei sistemi embedded , e per quanto riguarda le stampanti HP le attenzioni dei ricercatori USA si sono focalizzate sui firmware integrati in dispositivi che da anni fanno molto più che stampare potendo comunicare in rete, ricevere email e sfoggiare un proprio indirizzo IP nella Intranet locale.
Sfruttando la vulnerabilità identificata dal team statunitense, un malintenzionato potrebbe istruire la stampante all’installazione di un update non ufficiale al firmware già montato contenente ogni genere di istruzione malevola, compresa quella di riscaldare la testina di stampa ben oltre i limiti consentiti mandando a fuoco le plastiche della stampante.
La vulnerabilità software scovata nei firmware delle LaserJet HP sarebbe insomma potenzialmente in grado di portare al danneggiamento dell’hardware sottostante, un problema da non sottovalutare considerando i milioni di esemplari di stampanti HP funzionanti negli uffici e negli ambienti domestici di ogni parte del mondo.
Il problema è serio ma a parere di Hewlett-Packard l’allarme è esagerato: il colosso statunitense non ha tardato a fornire una risposta ufficiale al lavoro di ricerca portato a termine dalla Columbia University, sostenendo che “nessun cliente ha riferito di accessi non autorizzati” e “le speculazioni riguardo il potenziale incendio dei dispositivi a causa di una modifica del firmware sono false”.
Gli eventuali malintenzionati non riuscirebbero comunque a bypassare l'”interruttore termico” che spegne la stampante in caso di surriscaldamento, rassicura HP, e per quanto riguarda la vulnerabilità nel firmware l’azienda è al lavoro per un upgrade – questa volta legittimo – in grado (augurabilmente) di metterci una pezza.
Alfonso Maruccia