CEO di HP: bloccare l’inchiostro di terze parti dalle stampanti combatte i virus

Giovedì scorso, il CEO di HP Enrique Lores ha affrontato la controversa pratica dell’azienda di “murare” le stampanti quando gli utenti le caricano con inchiostro di terze parti. Parlando alla CNBC Television , ha detto: “Abbiamo visto che è possibile incorporare virus nelle cartucce. Attraverso la cartuccia, [il virus può] arrivare alla stampante, [e poi] dalla stampante andare alla rete”.

Questo scenario spaventoso potrebbe aiutare a spiegare perché HP, colpita questo mese da un’altra causa legale sul suo sistema Dynamic Security , insiste per implementarlo sulle stampanti.

Dynamic Security impedisce il funzionamento delle stampanti HP se è installata una cartuccia di inchiostro senza chip HP o circuiti elettronici HP. HP ha rilasciato aggiornamenti firmware che bloccano la stampa delle stampanti dotate di tali cartucce d’inchiostro, portando alla causa sopra menzionata ( PDF ), che sta cercando la certificazione di un’azione collettiva. La causa sostiene che i clienti delle stampanti HP non sono stati informati del fatto che gli aggiornamenti del firmware della stampante rilasciati tra la fine del 2022 e l’inizio del 2023 potrebbero comportare il mancato funzionamento delle funzionalità della stampante. La causa chiede un risarcimento danni monetari e un’ingiunzione che impedisca ad HP di rilasciare aggiornamenti per stampanti che blocchino le cartucce d’inchiostro senza chip HP.

Ma le cartucce d’inchiostro hackerate sono qualcosa di cui dovremmo davvero preoccuparci?

Per indagare, mi sono rivolto a Dan Goodin, redattore senior della sicurezza di Ars Technica. Mi ha detto che non era a conoscenza di alcun attacco attivamente utilizzato in natura in grado di utilizzare una cartuccia per infettare una stampante.

Goodin ha posto la domanda anche a Mastodon e i professionisti della sicurezza informatica, molti dei quali con esperienza nell’hacking di dispositivi integrati, erano decisamente scettici.

Un altro commentatore, usando Graham Sutherland / Polynomial su Mastodon, ha fatto riferimento alla memoria di sola lettura programmabile cancellabile elettricamente (EEPROM) di rilevamento della presenza seriale (SPD), una forma di memoria flash ampiamente utilizzata nelle cartucce di inchiostro, dicendo:

Ho visto e fatto alcune cose hardware davvero stravaganti nella mia vita, incluso nascondere dati nelle EEPROM SPD sui DIMM di memoria (e sostituirli con microcontrollori per imbrogli simili), quindi credetemi quando dico che la sua affermazione è assolutamente non plausibile anche in un in ambito di laboratorio, figuriamoci in natura, e tanto meno su qualsiasi scala che abbia un impatto su imprese o individui piuttosto che su attori politici selezionati.

Le prove di HP

Non sorprende che l’affermazione di Lores provenga da una ricerca sostenuta da HP. Il programma bug bounty dell’azienda ha incaricato i ricercatori di Bugcrowd di determinare se è possibile utilizzare una cartuccia d’inchiostro come minaccia informatica. HP ha affermato che i chip del microcontrollore delle cartucce d’inchiostro, utilizzati per comunicare con la stampante, potrebbero costituire una via d’ingresso per gli attacchi.

Come dettagliato in un articolo del 2022 della società di ricerca Actionable Intelligence, un ricercatore del programma ha trovato un modo per hackerare una stampante tramite una cartuccia d’inchiostro di terze parti. Secondo quanto riferito, il ricercatore non è stato in grado di eseguire lo stesso hack con una cartuccia HP.

Shivaun Albright, capo tecnologo della sicurezza di stampa di HP, disse all’epoca:

Un ricercatore ha riscontrato una vulnerabilità nell’interfaccia seriale tra la cartuccia e la stampante. Essenzialmente, hanno trovato un buffer overflow. È lì che hai un’interfaccia che potresti non aver testato o convalidato abbastanza bene e l’hacker è riuscito a traboccare nella memoria oltre i limiti di quel particolare buffer. E questo dà loro la possibilità di inserire codice nel dispositivo.

Albright ha aggiunto che il malware “è rimasto in memoria sulla stampante” dopo che la cartuccia è stata rimossa.

HP riconosce che non ci sono prove che un simile hack sia avvenuto in natura. Tuttavia, poiché i chip utilizzati nelle cartucce d’inchiostro di terze parti sono riprogrammabili (il loro “codice può essere modificato tramite uno strumento di ripristino direttamente sul campo”, secondo Actionable Intelligence), sono meno sicuri, afferma l’azienda. Si dice che i chip siano programmabili in modo che possano ancora funzionare nelle stampanti dopo gli aggiornamenti del firmware.

HP mette in dubbio anche la sicurezza delle catene di fornitura delle società di inchiostro di terze parti, soprattutto rispetto alla sicurezza della propria catena di fornitura, che è certificata ISO/IEC .

Quindi HP ha trovato un modo teorico per hackerare le cartucce ed è ragionevole che l’azienda emetta un bug bounty per identificare tale rischio. Ma la sua soluzione a questa minaccia è stata annunciata prima che si dimostrasse che poteva esserci una minaccia. HP ha aggiunto la formazione sulla sicurezza delle cartucce di inchiostro al suo programma bug bounty nel 2020 e la ricerca di cui sopra è stata pubblicata nel 2022. HP ha iniziato a utilizzare Dynamic Security nel 2016, apparentemente per risolvere il problema che cercava di dimostrare l’esistenza anni dopo.

Inoltre, i professionisti della sicurezza informatica con cui Ars ha parlato hanno la sensazione che, anche se esistesse una tale minaccia, sarebbe necessario un alto livello di risorse e competenze, che di solito sono riservate al targeting di vittime di alto profilo. Realisticamente, la stragrande maggioranza dei singoli consumatori e delle aziende non dovrebbe avere serie preoccupazioni riguardo al fatto che le cartucce d’inchiostro vengano utilizzate per hackerare le proprie macchine.