Dopo la brutta controversia relativa alle cartucce d'inchiostro, Brother si trova alle prese con un problema di sicurezza tutt’altro che leggero: degli hacker sono riusciti a indovinare il metodo con cui il produttore genera le password predefinite per la maggior parte dei suoi prodotti (soprattutto stampanti, scanner ed etichettatrici), il che significa che possono evincerla semplicemente partendo dal numero di serie - che è facilmente apprendibile con una rapida occhiata fisica alla stampante che si vuole violare. Tutti prodotti a cui non sono mai state cambiate le password predefinite sono a rischio, e l’utente dovrebbe intervenire quanto prima.
La grave vulnerabilità, che è stata scoperta dai ricercatori di sicurezza di Rapid7, coinvolge prevalentemente Brother, ma non solo: ci sono anche dispositivi costruiti da Fujifilm, Konica Minolta, Ricoh e Toshiba. Pare che gli hacker abbiano già esposto il metodo per generare le password predefinite, quindi possiamo dire che la falla è in fase di exploit attiva. Come se non bastasse, l’indagine ha evidenziato altre vulnerabilità “secondarie” che permettono di rubare dati sensibili, controllare da remoto il dispositivo infettato, eseguire codice da remoto e perfino causare dei crash “a comando”. Brother ha rilasciato un aggiornamento firmware che corregge queste falle, ma non può fare nulla per le password.
Le password sono infatti generate in fase di costruzione, e una volta immagazzinate nella periferica non possono più essere alterate. In realtà Brother aveva già aggiornato il suo algoritmo di generazione password agli inizi dell’anno scorso, e quindi le unità più recenti sono immuni alla vulnerabilità, ma per quelle più vecchie l’unica soluzione è cambiare la password impostandone una personalizzata. Questo va fatto a ogni reset quando si carica la password predefinita!
Tutte le società coinvolte hanno pubblicato note e bollettini di sicurezza sui rispettivi siti ufficiali illustrando nel dettaglio quali modelli sono colpiti e come difendersi (come dicevamo, l’aspetto fondamentale è cambiare password, ma in genere si suggerisce anche di disabilitare TFTP e WSD. Nel caso di Brother il firmware che corregge le altre falle è disponibile dove necessario, anche se è facile immaginare che qualche utente più informato sarà un po’ restio a installarlo, viste le accuse emerse recentemente di deterioramento della qualità di stampa in caso venga rilevata una cartuccia non originale. Doveroso precisare che Brother ha respinto con forza tutte le accuse.
GCC Pokémon Pocket, novità per gli scambi e data della prossima espansione in un leak