HP finisce in tribunale per il bug nelle LaserJet

Un cittadino di New York, David Goldblatt, ha depositato una denuncia contro HP presso il tribunale di San Jose in California. L’azienda è accusata di aver venduto consapevolmente stampanti laser con firmware vulnerabile ad attacchi da remoto. La questione è nata quando due ricercatori della Columbia University hanno scoperto che le HP LaserJet possono diventare un veicolo per infettare tutti i computer collegati, per sottrarre dati riservati e, addirittura, per causare danni fisici come un incendio.

Goldblatt ha dichiarato che non avrebbe acquistato le sue stampanti se avesse saputo della vulnerabilità. HP ha violato una legge della California scritta per proteggere i consumatori e che proibisce pratiche commerciali fraudolente o ingannevoli. Il produttore di Palo Alto ha sottolineato che non è possibile provocare il surriscaldamento del fusore, ma ha confermato l’esistenza del bug nel firmware. HP avrebbe dunque venduto le stampanti senza informare i consumatori.

Le stampanti LaserJet integrano una funzionalità denominata Remote Firmware Update, con la quale viene automaticamente installato un nuovo firmware senza l’intervento dell’utente. Come indicato nella documentazione depositata in tribunale, HP non ha previsto (per le stampanti vendute prima del 2009) un certificato digitale che autentica l’aggiornamento software. Un hacker quindi può modificare il firmware, inserendo un malware che permette il controllo da remoto su Internet.

HP ha promesso una patch per il firmware in tempi brevi, ma le stampanti potenzialmente in pericolo sono milioni, per cui la causa potrebbe presto trasformarsi in una class action.