C’è un problema serio che riguarda le stampanti Brother e che coinvolge anche altri dispositivi come scanner ed etichettatrici: le password predefinite non sono più affidabili. A scoprirlo sono stati i ricercatori di Rapid7, che hanno individuato il metodo usato da Brother per generare queste password. Un sistema che, secondo quanto emerso, può essere aggirato facilmente partendo dal numero di serie del dispositivo.
Questo dettaglio è visibile fisicamente sul prodotto, quindi chi ha accesso diretto alla macchina può ottenere anche la password. In molti casi, si tratta di dispositivi che non hanno mai avuto una password personalizzata, il che li rende vulnerabili ad attacchi esterni.
Il bug è noto e gli attacchi sono già in corso
La falla è reale e già sfruttata attivamente. Non si tratta solo di un rischio teorico: esistono già strumenti in grado di calcolare le password predefinite partendo da informazioni di base. Chi accede al dispositivo può controllarlo da remoto, eseguire codice, causare crash o accedere a dati sensibili.
Brother ha rilasciato un aggiornamento firmware per correggere alcune falle secondarie, ma non può intervenire sulle password predefinite: vengono scritte in fabbrica e non possono essere modificate da remoto. L’azienda aveva già cambiato l’algoritmo all’inizio dello scorso anno, quindi i modelli più recenti non sono coinvolti. Tutti gli altri, invece, richiedono un’azione manuale: cambiare subito la password.
Come proteggere il dispositivo
Il primo passo è modificare la password, soprattutto se non è mai stata cambiata. E va rifatta ogni volta che si esegue un reset. Le indicazioni complete si trovano sul sito ufficiale di Brother, dove sono elencati anche i modelli coinvolti. Per maggiore sicurezza, è consigliabile disattivare i protocolli TFTP e WSD, se non utilizzati.
Non è un buon periodo per Brother, già finita al centro delle polemiche per la gestione delle cartucce non originali. Alcuni utenti restano scettici anche sugli aggiornamenti firmware, temendo una riduzione nella qualità di stampa. L’azienda, da parte sua, nega ogni accusa. Ma al di là delle controversie, su una cosa non ci sono dubbi: lasciare attiva la password predefinita oggi è un rischio concreto. Meglio intervenire subito.
