Hàng triệu máy in LaserJet của Hewlett Packard có chứa một điểm yếu bảo mật mà có thể cho phép kẻ tấn công kiểm soát hệ thống, ăn cắp dữ liệu từ chúng và có thể ra lệnh làm cháy thiết bị, theo hai nhà nghiên cứu từ Đại học Columbia của Mỹ.
Phát hiện của hai nhà nghiên cứu mới được xuất bản trên MSNBC.com vào ngày hôm qua cũng cho biết, không loại trừ máy in của các nhà cung cấp khác cũng thể gặp vấn đề tương tự.
Tuy nhiên, HP đã lập tức lên tiếng phản bác, cho rằng tuyên bố của các nhà nghiên cứu là "giật gân và không chính xác".
Công ty xác nhận có một lỗ hổng bảo mật tiềm tàng đối với một số máy in HP LaserJet, nhưng chưa hề nhận được bất kỳ báo cáo nào của khách hàng về việc bị truy cập trái phép.
Báo cáo cho biết lỗ hổng sẽ cho phép hacker làm cháy máy in LaserJet và nói rằng cơ chế an toàn được tích hợp sẽ ngăn cản điều đó xảy ra.
Lỗ hổng trong máy in HP LaserJet được phát hiện bởi giáo sư Salvatore Stolfo của khoa Khoa học máy tính thuộc trường Kỹ sư và Khoa học ứng dụng của ĐH Columbia và đồng nghiệp nghiên cứu bảo mật Ang Cui.
Lỗ hổng này tồn tại trong quá trình cập nhật firmware từ xa cho các máy in HP LaserJet. Do cơ chế xác thực yếu, các máy in có thể bị lừa, chấp nhận thay đổi tùy tiện firmware bởi bất cứ ai có quyền truy cập tới thiết bị, Stolfo cho biết trong một cuộc phỏng vấn.
Thử nghiệm của họ cho thấy, các máy in LaserJet không yêu cầu các bản cập nhật firmware phải được xác nhận bởi chữ ký số, do vậy cho phép bất cứ ai cũng có thể xóa phần mềm điều hành hiện tại của máy in và ghi đè lên đoạn mã độc hại.
Những kẻ tấn công có thể giành quyền kiểm soát máy in và ghi đè lên phần mềm của nó để nó không thể thiết lập lại được như trước, Stolfo nói. "Đó là một lỗ hổng bảo mật đáng ngại".
Stolfo nói rằng ông và Cui đã khảo sát ba model LaserJet phổ biến và phát hiện ra cả ba yếu kém như nhau. Đó là các máy in LaserJet 203x/205x, LaserJet 3800 và LaserJet 4005.
Máy in có thể bị tổn hại với một lệnh in đã dính mã độc, do ai đó có quyền truy cập máy in ra lệnh hoặc một người nào đó điều khiển từ xa nếu máy in được kết nối trực tiếp với Internet, theo Stolfo.
Lỗ hổng này cho phép kẻ tấn công ăn cắp tài liệu từ một máy in bị nhiễm, hoặc sử dụng thiết bị làm bàn đạp để tấn công các máy tính kết nối với nó. Lỗ hổng này cũng cho phép kẻ tấn công phát lệnh sấy nóng máy in (thường được sử dụng để làm khô mực), và về lý thuyết có thể làm máy in nóng tới mức giấy in bốc cháy.
×
|