原告訴稱惠普知道打印機(jī)缺陷卻不采取措施

據(jù)國(guó)外媒體報(bào)道，上周因LaserJet打印機(jī)存在缺陷起訴惠普的大衛(wèi)·歌德布拉特(David Goldblatt)稱，惠普知道該缺陷已經(jīng)一段時(shí)間，但沒(méi)有采取任何措施。歌德布拉特上周代表所有LaserJet用戶在加利福尼亞州北區(qū)聯(lián)邦地方法院起訴了惠普。歌德布拉特最近購(gòu)買了兩臺(tái)LaserJet。歌德布拉特訴稱，惠普沒(méi)有向消費(fèi)者披露它已經(jīng)知道的缺陷，違反了加利福尼亞州消費(fèi)者權(quán)益保護(hù)方面的法律。

兩名哥倫比亞大學(xué)研究人員上周表示，他們發(fā)現(xiàn)惠普LaserJet的遠(yuǎn)程固件更新(Remote Firmware Update)過(guò)程存在缺陷。遠(yuǎn)程固件更新使打印機(jī)的固件可以遠(yuǎn)程被修改或升級(jí)。但是，打印機(jī)沒(méi)有采取任何措施確認(rèn)固件升級(jí)或修改申請(qǐng)，因此，能夠被輕易地誘騙安裝惡意軟件。

哥倫比亞大學(xué)研究人員稱，該缺陷使黑客不僅能獲得打印機(jī)的完整遠(yuǎn)程控制權(quán)，也能獲得打印機(jī)所連接的網(wǎng)絡(luò)的遠(yuǎn)程控制權(quán)。他們還指出，黑客可以遠(yuǎn)程關(guān)閉打印機(jī)。

歌德布拉特在起訴書(shū)中指控惠普沒(méi)有使用數(shù)字簽名對(duì)固件升級(jí)包進(jìn)行驗(yàn)證?；萜赵缭?010年4月份就知道了不使用數(shù)字簽名可能帶來(lái)的問(wèn)題。起訴書(shū)援引了惠普贊助的一份名為《Think Print, Think Security》的研究報(bào)告，報(bào)告提到了固件升級(jí)問(wèn)題。報(bào)告稱，黑客可以修改部分打印機(jī)上的軟件，截獲數(shù)據(jù)或?qū)?shù)據(jù)傳送給第三方。

起訴書(shū)稱，直到哥倫比亞研究人員和LaserJet缺陷上周被媒體曝光后，惠普才被迫披露了這一問(wèn)題。

原告要求惠普根據(jù)《加州消費(fèi)者救濟(jì)法案》(California Consumers Legal Remedies Act)和《加州不公平競(jìng)爭(zhēng)法》(California Unfair Competition)賠償經(jīng)濟(jì)損失。

惠普發(fā)言人稱，該公司不會(huì)就尚未結(jié)案的訴訟發(fā)表評(píng)論。