CEO da HP: Bloquear tinta de terceiros em impressoras combate vírus

Na quinta-feira passada, o CEO da HP, Enrique Lores, abordou a polêmica prática da empresa de bloquear impressoras quando os usuários as carregam com tinta de terceiros. Em declarações à CNBC Television , ele disse: “Vimos que é possível incorporar vírus nos cartuchos. Através do cartucho, [o vírus pode] ir para a impressora, [e depois] da impressora, ir para a rede.”

Esse cenário assustador pode ajudar a explicar por que a HP, que foi atingida este mês por outro processo judicial sobre seu sistema Dynamic Security , insiste em implantá-lo em impressoras.

A Segurança Dinâmica impede o funcionamento das impressoras HP se um cartucho de tinta sem chip HP ou circuito eletrônico HP estiver instalado. A HP emitiu atualizações de firmware que bloqueiam a impressão de impressoras com esses cartuchos de tinta, levando ao processo acima ( PDF ), que busca certificação de ação coletiva. O processo alega que os clientes de impressoras HP não foram informados de que as atualizações de firmware da impressora lançadas no final de 2022 e início de 2023 poderiam fazer com que os recursos da impressora não funcionassem. A ação busca indenização monetária e uma liminar que impeça a HP de emitir atualizações de impressoras que bloqueiem cartuchos de tinta sem chip HP.

Mas os cartuchos de tinta hackeados são algo com que devemos nos preocupar?

Para investigar, procurei o editor sênior de segurança da Ars Technica, Dan Goodin. Ele me disse que não sabia de nenhum ataque usado ativamente na natureza que fosse capaz de usar um cartucho para infectar uma impressora.

Goodin também fez a pergunta ao Mastodon , e os profissionais de segurança cibernética, muitos deles com experiência em hacking de dispositivos incorporados, ficaram decididamente céticos.

Outro comentarista, chamado Graham Sutherland / Polynomial no Mastodon, referiu-se à memória somente leitura programável apagável eletricamente (EEPROM) com detecção de presença serial (SPD), uma forma de memória flash usada extensivamente em cartuchos de tinta, dizendo:

Eu vi e fiz algumas coisas de hardware realmente malucas em minha vida, incluindo esconder dados em EEPROMs SPD em DIMMs de memória (e substituí-los por microcontroladores para travessuras semelhantes), então acredite em mim quando digo que sua afirmação é totalmente implausível, mesmo em um ambiente de laboratório, muito menos em estado selvagem, e muito menos em qualquer escala que afete empresas ou indivíduos, em vez de atores políticos selecionados.

Evidência da HP

Não é novidade que a afirmação de Lores vem de pesquisas apoiadas pela HP. O programa de recompensas por bugs da empresa encarregou os pesquisadores do Bugcrowd de determinar se é possível usar um cartucho de tinta como uma ameaça cibernética. A HP argumentou que os chips microcontroladores dos cartuchos de tinta, usados ​​para se comunicar com a impressora, poderiam ser uma porta de entrada para ataques.

Conforme detalhado em um artigo de 2022 da empresa de pesquisa Actionable Intelligence, um pesquisador do programa encontrou uma maneira de hackear uma impressora por meio de um cartucho de tinta de terceiros. O pesquisador não conseguiu realizar o mesmo hack com um cartucho HP.

Shivaun Albright, tecnólogo-chefe de segurança de impressão da HP, disse na época:

Um pesquisador encontrou uma vulnerabilidade na interface serial entre o cartucho e a impressora. Essencialmente, eles encontraram um buffer overflow. É aí que você tem uma interface que talvez não tenha testado ou validado bem o suficiente, e o hacker conseguiu transbordar para a memória além dos limites desse buffer específico. E isso lhes dá a capacidade de injetar código no dispositivo.

Albright acrescentou que o malware “permaneceu na memória da impressora” depois que o cartucho foi removido.

A HP reconhece que não há evidências de tal invasão ocorrendo em estado selvagem. Ainda assim, como os chips usados ​​em cartuchos de tinta de terceiros são reprogramáveis ​​(seu “código pode ser modificado por meio de uma ferramenta de redefinição no local”, de acordo com a Actionable Intelligence), eles são menos seguros, diz a empresa. Diz-se que os chips são programáveis ​​para que ainda possam funcionar nas impressoras após atualizações de firmware.

A HP também questiona a segurança das cadeias de fornecimento de empresas de tinta de terceiros, especialmente em comparação com a segurança da sua própria cadeia de fornecimento, que é certificada pela ISO/IEC .

Portanto, a HP encontrou uma maneira teórica de hackear cartuchos, e é razoável que a empresa emita uma recompensa por bugs para identificar tal risco. Mas a sua solução para esta ameaça foi anunciada antes de mostrar que poderia haver uma ameaça. A HP adicionou treinamento em segurança de cartuchos de tinta ao seu programa de recompensas por bugs em 2020, e a pesquisa acima foi lançada em 2022. A HP começou a usar o Dynamic Security em 2016, aparentemente para resolver o problema que procurou provar que existia anos depois.

Além disso, há uma sensação por parte dos profissionais de segurança cibernética com quem Ars conversou de que, mesmo que tal ameaça exista, seria necessário um alto nível de recursos e habilidades, que geralmente são reservados para atingir vítimas de alto perfil. Realisticamente, a grande maioria dos consumidores individuais e das empresas não deveria ter sérias preocupações com o uso de cartuchos de tinta para hackear suas máquinas.