據(jù)國(guó)外媒體報(bào)道,上周因LaserJet打印機(jī)存在缺陷起訴惠普的大衛(wèi)·歌德布拉特(David Goldblatt)稱,惠普知道該缺陷已經(jīng)一段時(shí)間,但沒(méi)有采取任何措施。歌德布拉特上周代表所有LaserJet用戶在加利福尼亞州北區(qū)聯(lián)邦地方法院起訴了惠普。歌德布拉特最近購(gòu)買了兩臺(tái)LaserJet。歌德布拉特訴稱,惠普沒(méi)有向消費(fèi)者披露它已經(jīng)知道的缺陷,違反了加利福尼亞州消費(fèi)者權(quán)益保護(hù)方面的法律。
兩名哥倫比亞大學(xué)研究人員上周表示,他們發(fā)現(xiàn)惠普LaserJet的遠(yuǎn)程固件更新(Remote Firmware Update)過(guò)程存在缺陷。遠(yuǎn)程固件更新使打印機(jī)的固件可以遠(yuǎn)程被修改或升級(jí)。但是,打印機(jī)沒(méi)有采取任何措施確認(rèn)固件升級(jí)或修改申請(qǐng),因此,能夠被輕易地誘騙安裝惡意軟件。
哥倫比亞大學(xué)研究人員稱,該缺陷使黑客不僅能獲得打印機(jī)的完整遠(yuǎn)程控制權(quán),也能獲得打印機(jī)所連接的網(wǎng)絡(luò)的遠(yuǎn)程控制權(quán)。他們還指出,黑客可以遠(yuǎn)程關(guān)閉打印機(jī)。
歌德布拉特在起訴書(shū)中指控惠普沒(méi)有使用數(shù)字簽名對(duì)固件升級(jí)包進(jìn)行驗(yàn)證?;萜赵缭?010年4月份就知道了不使用數(shù)字簽名可能帶來(lái)的問(wèn)題。起訴書(shū)援引了惠普贊助的一份名為《Think Print, Think Security》的研究報(bào)告,報(bào)告提到了固件升級(jí)問(wèn)題。報(bào)告稱,黑客可以修改部分打印機(jī)上的軟件,截獲數(shù)據(jù)或?qū)?shù)據(jù)傳送給第三方。
起訴書(shū)稱,直到哥倫比亞研究人員和LaserJet缺陷上周被媒體曝光后,惠普才被迫披露了這一問(wèn)題。
原告要求惠普根據(jù)《加州消費(fèi)者救濟(jì)法案》(California Consumers Legal Remedies Act)和《加州不公平競(jìng)爭(zhēng)法》(California Unfair Competition)賠償經(jīng)濟(jì)損失。
惠普發(fā)言人稱,該公司不會(huì)就尚未結(jié)案的訴訟發(fā)表評(píng)論。