Ismét driverbe bújt keylogger kísérti a HP notebookokat
Idén másodszor üti fel a fejét keylogger a HP notebookok valamely driverében. Ezúttal a Synaptics touchpad illesztőprogramja volt a ludas, a gyártó szerencsére gyorsan lépett.
Nincs szerencséje a HP-nak a notebook-komponens, illetve driverbeszállítókkal. A cég májusi fiaskója után, mikor laptopjain a Conexant audiodriverben bukkant fel keylogger, most a touchpadekhez tartozó illesztőprogramról derült ki, a felhasználók leütéseinek megfigyelésére használható kódot tartalmaz.
A Michael Myng biztonsági szakértő által felfedezett leütésfigyelő szerencsére alapértelmezetten nem aktív, ugyanakkor a rendszerleíró adatbázisban egyetlen érték megváltoztatásával bekapcsolható. A Synaptics touchpad driverben megbújó kód az Ars Technica szerint alapvetően nem rosszindulatú, azt a fejlesztés során debugging feladatokhoz építették a szoftverbe, amely végül úgy tűnik a piacra kerülő termékekben is benne maradt - ezáltal több HP és Compaq notebookba is bekerült, az üzleti és konzumer felhasználásra szánt modellekbe egyaránt.
Sajnos az, hogy nem kártékony céllal került a leütésrögzítő az említett driverbe, nem jelenti, hogy potenciálisan rosszindulatú harmadik felek ne tudnák azt kihasználni. A szóban forgó registry érték ugyanis akár távolról is megváltoztatható, (legalábbis rendszergazdai jogosultságok birtokában) például egy PowerShell scripttel. Bekapcsolva a keylogger egy naplófájlba gyűjti az észlelt leütéseket, amelyhez a potenciális támadó is hozzáférhet.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A kutató december elején számolt be blogján a veszélyes kódról, néhány héttel azután, hogy azt a HP felé is jelezte. A gyártó már november 7-i biztonsági közleményében nyilvánosságra hozta a problémát, amelyet gyorsan orvosolt is, és több száz érintett modellhez adott ki frissített drivereket, utóbbiak elérhetők a vállalat terméktámogatási oldalán, ahol a több mint 460 eszközre rúgó lista is végigböngészhető. A közlemény igyekszik kiemelni, sem a HP, sem pedig a Synaptics nem fért hozzá felhasználói adatokhoz a keyloggeren keresztül - illetve azt is, a probléma a Synapticsszal együtt dolgozó összes gyártópartnert érinti, noha más vállalatok részéről egyelőre nem érkezett állásfoglalás.
A gyors reakció dacára az ügy kifejezetten kínosan érintheti a HP-t, főleg a májusi események fényében, amelyek kísértetiesen hasonlítanak a most jelentett esetre. Az mindenesetre előrelépés, hogy a vállalat Myng megkeresését követően azonnal tudomásul vette a problémát és megkezdte annak orvoslását, a tavasszal feltűnt keylogger ügyében ugyanis csak annak nyilvánosságra kerülése után léptek az érintett cégek.