Szerző: Hlács Ferenc

2017. december 12. 11:43

Ismét driverbe bújt keylogger kísérti a HP notebookokat

Idén másodszor üti fel a fejét keylogger a HP notebookok valamely driverében. Ezúttal a Synaptics touchpad illesztőprogramja volt a ludas, a gyártó szerencsére gyorsan lépett.

Nincs szerencséje a HP-nak a notebook-komponens, illetve driverbeszállítókkal. A cég májusi fiaskója után, mikor laptopjain a Conexant audiodriverben bukkant fel keylogger, most a touchpadekhez tartozó illesztőprogramról derült ki, a felhasználók leütéseinek megfigyelésére használható kódot tartalmaz.

A Michael Myng biztonsági szakértő által felfedezett leütésfigyelő szerencsére alapértelmezetten nem aktív, ugyanakkor a rendszerleíró adatbázisban egyetlen érték megváltoztatásával bekapcsolható. A Synaptics touchpad driverben megbújó kód az Ars Technica szerint alapvetően nem rosszindulatú, azt a fejlesztés során debugging feladatokhoz építették a szoftverbe, amely végül úgy tűnik a piacra kerülő termékekben is benne maradt - ezáltal több HP és Compaq notebookba is bekerült, az üzleti és konzumer felhasználásra szánt modellekbe egyaránt.

Sajnos az, hogy nem kártékony céllal került a leütésrögzítő az említett driverbe, nem jelenti, hogy potenciálisan rosszindulatú harmadik felek ne tudnák azt kihasználni. A szóban forgó registry érték ugyanis akár távolról is megváltoztatható, (legalábbis rendszergazdai jogosultságok birtokában) például egy PowerShell scripttel. Bekapcsolva a keylogger egy naplófájlba gyűjti az észlelt leütéseket, amelyhez a potenciális támadó is hozzáférhet.

hphq

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A kutató december elején számolt be blogján a veszélyes kódról, néhány héttel azután, hogy azt a HP felé is jelezte. A gyártó már november 7-i biztonsági közleményében nyilvánosságra hozta a problémát, amelyet gyorsan orvosolt is, és több száz érintett modellhez adott ki frissített drivereket, utóbbiak elérhetők a vállalat terméktámogatási oldalán, ahol a több mint 460 eszközre rúgó lista is végigböngészhető. A közlemény igyekszik kiemelni, sem a HP, sem pedig a Synaptics nem fért hozzá felhasználói adatokhoz a keyloggeren keresztül - illetve azt is, a probléma a Synapticsszal együtt dolgozó összes gyártópartnert érinti, noha más vállalatok részéről egyelőre nem érkezett állásfoglalás.

A gyors reakció dacára az ügy kifejezetten kínosan érintheti a HP-t, főleg a májusi események fényében, amelyek kísértetiesen hasonlítanak a most jelentett esetre. Az mindenesetre előrelépés, hogy a vállalat Myng megkeresését követően azonnal tudomásul vette a problémát és megkezdte annak orvoslását, a tavasszal feltűnt keylogger ügyében ugyanis csak annak nyilvánosságra kerülése után léptek az érintett cégek.

a címlapról