Keylogger bukkant fel a HP notebookokon (Frissítve)
Minden billentyűleütést figyel a HP notebookjain dolgozó Conexant audiodriver. Az illesztőprogramhoz, mint a Modzero kutatói felfedezték, keylogger is párosul, amely szabadon elérhető naplófájlba tárolja a felhasználói tevékenységet.
Kémprogram követi a felhasználók tevékenységét egy sor HP notebookon - derült ki a Modzero biztonsági szakértőinek frissen közzétett jelentéséből. Egy keyloggerről van szó, amely a HP audiodriver csomagjában bújik meg, és a felhasználó minden leütését rögzíti, beleértve a különböző felhasználóneveket, jelszavakat is (még akkor is, ha azokat az adott bejelentkezési mező nem jeleníti meg).
A szóban forgó, keyloggert tartalmazó driver letölthető a HP hivatalos weboldaláról - ugyanakkor nem házon belüli fejlesztésről van szó, a szoftvert az audiochipeket gyártó Conexant fejlesztette és írta alá. A biztonsági szakértők szerint az egyelőre nem világos, hogy rosszindulatú céllal helyezték-e el a naplózóprogramot a driverben - noha aránylag kevés helyzetben beszélhetünk "ártatlan" jó szándékú keyloggerről.
A Conexant chipjei egyébként számos gyártó számítógépeiben megtalálhatók, ahogy a hozzájuk tartozó, ugyancsak a cég által írt driverek is. Utóbbiakat a vállalatnak minden esetben az adott gyártó gépeihez kell szabnia, már csak az olyan különbségek miatt is, mint például az egyes termékeken eltérő helyen lévő, a mikrofon ki-bekapcsolására szolgáló gombok. Míg néhány notebookon ez dedikált gombot kaphat, sok gyártó azt valamilyen billentyűkombinációhoz köti. A szakértők szerint a szóban forgó leütésrögzítő feladata hivatalosan ezeknek a speciális billentyűkombóknak a megfigyelése - az ugyanakkor már erősen kilóg a mikrofon, illetve a hozzá tartozó LED kapcsolgatásának feladatköréből, hogy a begyűjtött felhasználói tevékenységet a szoftver egy a merevlemezen bárki számára elérhető naplófájlba rögzíti, vagy épp egy debugging interfészen keresztül teszi elérhetővé. Ezzel, ahogy a Modzero fogalmaz, az audiodriver egy az egyben kémszoftverré avanzsál.
Rust? Kubernetes? FinOps? Melyiket válasszam? Egy jó karrierdöntéshez sok apróság szükséges. Egy alapos hazai technológiai körkép azoban még hiányzott. Végre van ilyen, és a 21. kraftie adásban kidumáltuk.
A renitens driver a kutatók szerint legalább 2015 karácsonya óta figyel az érintett HP gépeken, de könnyen lehet, hogy már korában is jelen volt egyes modelleken. A legfrissebb (1.0.0.46-os) verzió a leütéseket egy a számítógép bármely felhasználója számára szabadon hozzáférhető fájlban tárolja, a C:\Users\Public\MicTray.log alatt. Bár a naplófálj minden bejelentkezéskor felülíródik, ha valaki rendszeresen készít biztonsági másolatot a háttértárakról, könnyen lehet, hogy évekre visszamenőleg megtalálhatja tevékenységét a mentésekben. Emellett a szabadon hozzáférhető fájlt a gépen futó aktív folyamatok - netán "törvényszéki" eszközök - is gond nélkül figyelhetik.
A kutatók szerint mindenesetre egyelőre nincs rá bizonyíték, hogy a keyloggert a Conexant fejlesztői kártékony szándékkal tették volna driverpakkba, valószínűbb, hogy inkább hanyagságról van szó, hiszen a teljes körű rögzítést egyszerűen lekapcsolhatták volna. Ettől persze a szoftver még ugyanolyan veszélyes - és egyelőre nem tudni, az érintett vállalatok mikor tesznek ellene, ugyanis sem a HP, sem pedig a Conexant nem reagált a szakértők megkeresésére, a Modzero ezért is hozta nyilvánosságra a problémát.
Szerencsére a HP számítógépek felhasználóinak lehetősége van leállítani a keyloggert, méghozzá az annak működéséért felelős C:\Windows\System32\MicTray64.exe vagy C:\Windows\System32\MicTray.exe átnevezésével vagy törlésével. Sajnos ezután fennáll a veszélye, hogy a mikrofon ki- bekapcsolására szolgáló funkcióbillentyűk nem működnek majd megfelelően, ezért először mindenképp érdemes csak az átnevezéses megoldást kipróbálni. Ezzel párhuzamosan a szakértők mindenkinek azt javasolják, hogy haladéktalanul töröljék gépükről a fentebb említett, C:\Users\Public\MicTray.log naplófájlt is.
Érdekesség, hogy a Conexant a eredetileg hadászati eszközöket is fejlesztő Rockwell International divíziójaként kezdte pályafutását, mielőtt önálló vállalattá alakult volna.
Frissítés:
A HP a következő hivatalos állásfoglalást küldte:
"A HP elkötelezett az eszközbiztonság és a felhasználók magánszférájának védelme iránt. Tudomásunk van az egyes HP PC-ket érintő keylogger esetről. Ennek következményeként a HP-nek nincs hozzáférése a vásárlók adataihoz. A beszállító partnerünk által fejlesztett, a termékbevezetést megelőző audio teszt szoftver már rajta volt a kereskedelmi forgalomba került termékeken. A javítások a HP.com webhelyen érhetők el.”"