HP's Laserjet-printers bevatten gevaarlijk lek

Door dat gebrek aan beveiliging bleek het mogelijk de firmware van de printers via een speciaal daarvoor geconstrueerde printopdracht aan de eigen wensen aan te passen. Dat kan rechtstreeks via het bedrijfsnetwerk, maar ook via een internetaansluiting - als een hacker die weet te kraken - of door een bedrijfsmedewerker zo gek te krijgen om het geconstrueerde document af te drukken.

Lanceerplatform voor aanvallen

Aanpassen van de firmware maakt het mogelijk de printer te saboteren of mee te kijken wat er op de printer gedrukt wordt. Maar een printer die in handen valt van hackers kan ook een lanceerplatform worden voor hacks van de computers in het bedrijfsnetwerk, stellen Stolfo en Cui. Een geslaagde hack is ook nagenoeg niet te detecteren. Antivirusprogrammatuur ziet niet wat er in firmware, op embedded niveau, is binnengesmokkeld, stellen de onderzoekers.

De wetenschappers werken - met overheidssubsidie - al enige tijd aan onderzoek naar dit type kwetsbaarheden. Ze hebben de federale autoriteiten twee weken terug en HP vorige week op de hoogte gesteld van hun bevindingen.

HP relativeert de risico's

HP heeft nog geen tijd gevonden om op de details in te gaan, maar het meldt wel dat de risico's worden overdreven. Een kraak van printers is niet zo makkelijk gezet als de wetenschappers beweren, zegt HP, en vergt specifieke omstandigheden die je in bedrijfstoepassingen zelden vindt. Volgens HP is de hack vanaf een Windows-pc zelfs onmogelijk - iets dat de ontdekkers weerspreken. HP geeft wel toe dat het updateproces van de firmware mogelijk een beveiligingsprobleem kent, en zal daarvoor een patch uitbrengen.

De ontdekkers van het lek waarschuwen dat het verkeerd zou zijn het probleem te onderschatten. Het komt volgens hen niet alleen voor bij printers - ook van andere leveranciers dan HP - maar ook bij andere apparaten met embedded software met internet connectiviteit.