Två säkerhetsforskare vid det amerikanska universitetet, Columbia University, hävdar de funnit ett allvarligt säkerhetshål i laserskrivare från HP. Säkerhetshålet ska göra det möjligt för hackare att ta kontroll över skrivaren och även få den att börja brinna.

HP bemötte påståendet i går och erkände att existerar ett säkerhetshål, men uppger att faran med det är överdriven.

– HP har fått vetskap om ett säkerhetshål i flera av våra skrivarprodukter, men ingen kund har hittills rapporterat att de drabbats av några problem på grund av säkerhetshålet, uppger HP i ett uttalande.

Problemet ligger i en funktion som gör det möjligt att uppdatera skrivarens inbyggda programvara över internet. Säkerhetsmekanismen är enligt de båda forskarna så dålig att en hackare enkelt kan ta sig runt den.

Skulle en hackare lyckas ta sig in i skrivarens programvara går det att lura skrivaren att accepterna en ny uppdatering som innehåller skadlig kod. På så sätt kan hackare få total kontroll över skrivaren och skapa en programkod som är omöjlig att ändra på.

– Det är ett ganska allvarligt säkerhetshål, säger Salvatore Stolfo, en av de båda säkerhetsforskarna vid Columbia University.

Han uppger att de testat sin upptäckt på tre stycken populära laserskrivare från HP, Laserjet 203x/205x, Laserjet 3800-serien och Laserjet 4005. Samtliga modeller lider av säkerhetshålet.

Allt som krävs är att en hackare har tillgång till skrivaren via ett lokalt nätverk. Det går även att utnyttja säkerhetshålet om skrivaren är ansluten direkt till internet.

Väl inne i skrivarens programvara kan hackaren stjäla dokument eller använda skrivaren som en plattform för ytterligare attacker mot ett företags nätverk. Det är även möjligt att modifiera skrivarens fixeringsenhet som används för att torka bläck, och värma upp den så att den blir hetare än normalt. Teoretiskt sätt går det på så sätt att få skrivarpapperet att fatta eld.

I ett av sina tester lyckades Salvatore Stolfo få skrivarpapperet att bli brunt av hetta och utveckla rökbildning i skrivaren. En inbyggd säkerhetsfunktion i skrivaren satte dock stopp för brandutveckling.

Det är dock osäkert om laserskrivare från andra tillverkare har en sådan säkerhetsfunktion, enligt Salvatore Stolfo.

HP uppger att företaget håller på att ta fram en uppdatering som ska fixa problemet.

– Problemet utsätter endast användare som anslutit sin laserskrivare direkt till internet utan någon brandvägg. I ett internt nätverk finns endast en risk om en attack utförs av en person som har tillgång till det interna nätverket, uppger HP.

IDG News