Dass Fachleute für IT-
Sicherheit auch durchaus Spaß verstehen, hat nun die Firma Context Information Security auf amüsante Weise bewiesen. Um die nachlässige Firmware-Absicherung einiger
Drucker-Modelle zu demonstrieren, haben die Mannen von Context Information Security kurzerhand das kultige Ballerspiel Doom auf einem Canon Pixma MG6450 installiert. Die Experten entschuldigen sich in ihrem
Blog-Eintrag wegen der etwas misslungenen Farbwiedergabe des Shooters.
Möglich macht dies das Web-Interface verschiedener Canon-Drucker, dass den Zugriff von außen ohne Authentifizierung erlaubt. Angreifer können die Lücke ausnutzen, um unbemerkt Schadsoftware in das jeweilige Netzwerk einzuspeisen. Dies ist über die DNS- und Proxy-Einstellungen im Web-Interface möglich. Mit angepassten Einstellungen lässt sich hier eine manipulierte Firmware installieren, die Schadsoftware oder bei hackenden Spaßvögeln einen Spieleklassiker enthält. Dies sei besonders einfach, weil auch die verwendete Firmware nur unzureichend verschlüsselt und nicht signiert sei. Innerhalb von 10 Minuten sollen die Experten die Firmware bereits entschlüsselt haben.
Context Information Security hat Canon bereits über die Sicherheitslücke informiert. Der Drucker-Hersteller will so schnell wie möglich ein Sicherheits-Update für alle Pixma-Modelle anbieten, die ab Mitte 2013 produziert wurden. Ältere Modelle seien nicht von der Sicherheitslücke betroffen. Zukünftige Firmware-Versionen sollen außerdem eine Nutzer-Anmeldung vorsehen.