Корпорацията HP продава най-разнообразна компютърна техника, включително няколко десетки модели лаптопи и таблети. Оказа се, че в драйверите, които HP разпространява за звуковите карти на своите устройства има интегриран кейлогър, който фиксира всички натискания на клавишите и записва тази информация в шифрован файл в диска на компютъра.

Това не е някакво творение на престъпници, а съвсем официален софтуер. Тези драйвери не са написани от HP, а от производителя на звуковите чипове – компанията Conexant. Един от компонентите на драйвера, елементът MicTray64.exe извършва мониторинг на клавиатурата и записва всяко натискане на нейните клавиши. Това се извършва във всички лаптопи и таблети от последните две години с инсталиран звуков драйвер на Conexant.

Указаният софтуерен компонент (MicTray64.exe) следи за натискане на клавишите, за да може да регистрира една от няколкото специални комбинации. Това са познатите на всички горещи клавиши, които се използват за управлението на драйвера и за промяна параметрите на звука. На пръв поглед, този модул не би трябвало да върши нищо лошо, но това си е чист кейлогър.

Това разкритие направи швейцарската компания Modzero, която първа забеляза, че този софтуерен модул превръща драйвера за звуковите карти в мощен кейлогър. За първи път този модул е въведен в края на 2015 година и излиза, че от около две години драйверите за звук на HP се продават с инсталиран кейлогър.

Известен е и файлът, където се записват всички натискания на клавишите. Това е файлът C:\Users\Public\MicTray.log, който още сега можете да проверите, ако имате лаптоп на HP. Интересно е, че информацията в този файл се изтрива след рестартирането на компютъра. Но има много начини той да бъде запазен – например, когато е включено архивирането на Windows. Всъщност, има логика в изтриването на тази информация, понеже в противен случай, размерът на файла би нараснал твърде подозрително. Но файлът се намира в указаната папка и при желание, може веднага да бъде разгледан. Не е известно дали някоя компютърна зараза не използва този файл.

В публикувания анализ на Modzero се казва следното:

MicTray64.exe на Conexant се инсталира заедно с аудио драйвера на Conexant и се изпълнява при всяко стартиране на компютъра, както и при логване в системата. Програмата регистрира всички натискания на клавишите от страна на потребителя и реагира на определени комбинации на клавиши. Но ги записва във файла MicTray.log. Ако този файл бъде изтрит, всички натискания на клавишите на клавиатурата се предават към OutputDebugString API, като по този начин тази информация може да бъде получена от всеки процес и за антивирусните програми това не е подозрително. Във версия 10.0.0.31 на файла, регистрирането на натиснатите клавиши и предаването на данните става единствено с функцията OutputDebugString, без запис във файл

Според експертите по информационна безопасност, този компонент съвсем лесно дава възможност на всеки злоумишленик да получи данните на потребителя. Информацията е криптирана толкова слабо, че всеки може да я декриптира. Потребителите с лаптопи не подозират, че техните данни се записват във файл по толкова левашки начин. Това е много опасно, понеже за кейлогъра няма значение дали ще прихване данните от курсова работа или от банкова сметка.

Това е една страхотна възможност за хакерите. Възможно е по някакъв начин този файл да се изпраща на отдалечен сървър за автоматичен анализ и всъщност има безброй други начини за използването на тази възможност.

Modzero добавя, че кейлогърът е включен в следните фамилии лаптопи на HP: HP EliteBooks, HP ProBooks, HP ZBooks и HP Elites, но е напълно възможно да присъства и във всички компютърни устройства с чипове на Conexant.

Компютърът може да бъде проверен за наличието на този кейлогър чрез проверка за наличието на следните файлове: C:WindowsSystem32MicTray.exe или C:WindowsSystem32MicTray64.exe.

Към днешен ден са открити следните уязвими лаптопи

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

HP вече се запозна с този проблем и обяви, че съвсем скоро ще предложи решение.

2
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещя коментар
2 Автори на коментарите
тралалалалаида Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
ида
ида

виртуална клавиатура

тралалалала
тралалалала

няма значение каква ще е дори и с блутут ис виртуална и каквато и да е пак се записва кеи логер записва всеки натиснат клавиш 🙂