Keylogger bukkant fel a HP notebookokon (Frissítve)
Minden billentyűleütést figyel a HP notebookjain dolgozó Conexant audiodriver. Az illesztőprogramhoz, mint a Modzero kutatói felfedezték, keylogger is párosul, amely szabadon elérhető naplófájlba tárolja a felhasználói tevékenységet.
Kémprogram követi a felhasználók tevékenységét egy sor HP notebookon - derült ki a Modzero biztonsági szakértőinek frissen közzétett jelentéséből. Egy keyloggerről van szó, amely a HP audiodriver csomagjában bújik meg, és a felhasználó minden leütését rögzíti, beleértve a különböző felhasználóneveket, jelszavakat is (még akkor is, ha azokat az adott bejelentkezési mező nem jeleníti meg).
A szóban forgó, keyloggert tartalmazó driver letölthető a HP hivatalos weboldaláról - ugyanakkor nem házon belüli fejlesztésről van szó, a szoftvert az audiochipeket gyártó Conexant fejlesztette és írta alá. A biztonsági szakértők szerint az egyelőre nem világos, hogy rosszindulatú céllal helyezték-e el a naplózóprogramot a driverben - noha aránylag kevés helyzetben beszélhetünk "ártatlan" jó szándékú keyloggerről.
A Conexant chipjei egyébként számos gyártó számítógépeiben megtalálhatók, ahogy a hozzájuk tartozó, ugyancsak a cég által írt driverek is. Utóbbiakat a vállalatnak minden esetben az adott gyártó gépeihez kell szabnia, már csak az olyan különbségek miatt is, mint például az egyes termékeken eltérő helyen lévő, a mikrofon ki-bekapcsolására szolgáló gombok. Míg néhány notebookon ez dedikált gombot kaphat, sok gyártó azt valamilyen billentyűkombinációhoz köti. A szakértők szerint a szóban forgó leütésrögzítő feladata hivatalosan ezeknek a speciális billentyűkombóknak a megfigyelése - az ugyanakkor már erősen kilóg a mikrofon, illetve a hozzá tartozó LED kapcsolgatásának feladatköréből, hogy a begyűjtött felhasználói tevékenységet a szoftver egy a merevlemezen bárki számára elérhető naplófájlba rögzíti, vagy épp egy debugging interfészen keresztül teszi elérhetővé. Ezzel, ahogy a Modzero fogalmaz, az audiodriver egy az egyben kémszoftverré avanzsál.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A renitens driver a kutatók szerint legalább 2015 karácsonya óta figyel az érintett HP gépeken, de könnyen lehet, hogy már korában is jelen volt egyes modelleken. A legfrissebb (1.0.0.46-os) verzió a leütéseket egy a számítógép bármely felhasználója számára szabadon hozzáférhető fájlban tárolja, a C:\Users\Public\MicTray.log alatt. Bár a naplófálj minden bejelentkezéskor felülíródik, ha valaki rendszeresen készít biztonsági másolatot a háttértárakról, könnyen lehet, hogy évekre visszamenőleg megtalálhatja tevékenységét a mentésekben. Emellett a szabadon hozzáférhető fájlt a gépen futó aktív folyamatok - netán "törvényszéki" eszközök - is gond nélkül figyelhetik.
A kutatók szerint mindenesetre egyelőre nincs rá bizonyíték, hogy a keyloggert a Conexant fejlesztői kártékony szándékkal tették volna driverpakkba, valószínűbb, hogy inkább hanyagságról van szó, hiszen a teljes körű rögzítést egyszerűen lekapcsolhatták volna. Ettől persze a szoftver még ugyanolyan veszélyes - és egyelőre nem tudni, az érintett vállalatok mikor tesznek ellene, ugyanis sem a HP, sem pedig a Conexant nem reagált a szakértők megkeresésére, a Modzero ezért is hozta nyilvánosságra a problémát.
Szerencsére a HP számítógépek felhasználóinak lehetősége van leállítani a keyloggert, méghozzá az annak működéséért felelős C:\Windows\System32\MicTray64.exe vagy C:\Windows\System32\MicTray.exe átnevezésével vagy törlésével. Sajnos ezután fennáll a veszélye, hogy a mikrofon ki- bekapcsolására szolgáló funkcióbillentyűk nem működnek majd megfelelően, ezért először mindenképp érdemes csak az átnevezéses megoldást kipróbálni. Ezzel párhuzamosan a szakértők mindenkinek azt javasolják, hogy haladéktalanul töröljék gépükről a fentebb említett, C:\Users\Public\MicTray.log naplófájlt is.
Érdekesség, hogy a Conexant a eredetileg hadászati eszközöket is fejlesztő Rockwell International divíziójaként kezdte pályafutását, mielőtt önálló vállalattá alakult volna.
Frissítés:
A HP a következő hivatalos állásfoglalást küldte:
"A HP elkötelezett az eszközbiztonság és a felhasználók magánszférájának védelme iránt. Tudomásunk van az egyes HP PC-ket érintő keylogger esetről. Ennek következményeként a HP-nek nincs hozzáférése a vásárlók adataihoz. A beszállító partnerünk által fejlesztett, a termékbevezetést megelőző audio teszt szoftver már rajta volt a kereskedelmi forgalomba került termékeken. A javítások a HP.com webhelyen érhetők el.”"