Корпорацията HP продава най-разнообразна компютърна техника, включително няколко десетки модели лаптопи и таблети. Оказа се, че в драйверите, които HP разпространява за звуковите карти на своите устройства има интегриран кейлогър, който фиксира всички натискания на клавишите и записва тази информация в шифрован файл в диска на компютъра.

Това не е някакво творение на престъпници, а съвсем официален софтуер. Тези драйвери не са написани от HP, а от производителя на звуковите чипове – компанията Conexant. Един от компонентите на драйвера, елементът MicTray64.exe извършва мониторинг на клавиатурата и записва всяко натискане на нейните клавиши. Това се извършва във всички лаптопи и таблети от последните две години с инсталиран звуков драйвер на Conexant.

Указаният софтуерен компонент (MicTray64.exe) следи за натискане на клавишите, за да може да регистрира една от няколкото специални комбинации. Това са познатите на всички горещи клавиши, които се използват за управлението на драйвера и за промяна параметрите на звука. На пръв поглед, този модул не би трябвало да върши нищо лошо, но това си е чист кейлогър.

Това разкритие направи швейцарската компания Modzero, която първа забеляза, че този софтуерен модул превръща драйвера за звуковите карти в мощен кейлогър. За първи път този модул е въведен в края на 2015 година и излиза, че от около две години драйверите за звук на HP се продават с инсталиран кейлогър.

Известен е и файлът, където се записват всички натискания на клавишите. Това е файлът C:\Users\Public\MicTray.log, който още сега можете да проверите, ако имате лаптоп на HP. Интересно е, че информацията в този файл се изтрива след рестартирането на компютъра. Но има много начини той да бъде запазен – например, когато е включено архивирането на Windows. Всъщност, има логика в изтриването на тази информация, понеже в противен случай, размерът на файла би нараснал твърде подозрително. Но файлът се намира в указаната папка и при желание, може веднага да бъде разгледан. Не е известно дали някоя компютърна зараза не използва този файл.

В публикувания анализ на Modzero се казва следното:

MicTray64.exe на Conexant се инсталира заедно с аудио драйвера на Conexant и се изпълнява при всяко стартиране на компютъра, както и при логване в системата. Програмата регистрира всички натискания на клавишите от страна на потребителя и реагира на определени комбинации на клавиши. Но ги записва във файла MicTray.log. Ако този файл бъде изтрит, всички натискания на клавишите на клавиатурата се предават към OutputDebugString API, като по този начин тази информация може да бъде получена от всеки процес и за антивирусните програми това не е подозрително. Във версия 10.0.0.31 на файла, регистрирането на натиснатите клавиши и предаването на данните става единствено с функцията OutputDebugString, без запис във файл

Според експертите по информационна безопасност, този компонент съвсем лесно дава възможност на всеки злоумишленик да получи данните на потребителя. Информацията е криптирана толкова слабо, че всеки може да я декриптира. Потребителите с лаптопи не подозират, че техните данни се записват във файл по толкова левашки начин. Това е много опасно, понеже за кейлогъра няма значение дали ще прихване данните от курсова работа или от банкова сметка.

Това е една страхотна възможност за хакерите. Възможно е по някакъв начин този файл да се изпраща на отдалечен сървър за автоматичен анализ и всъщност има безброй други начини за използването на тази възможност.

Modzero добавя, че кейлогърът е включен в следните фамилии лаптопи на HP: HP EliteBooks, HP ProBooks, HP ZBooks и HP Elites, но е напълно възможно да присъства и във всички компютърни устройства с чипове на Conexant.

Компютърът може да бъде проверен за наличието на този кейлогър чрез проверка за наличието на следните файлове: C:WindowsSystem32MicTray.exe или C:WindowsSystem32MicTray64.exe.

Към днешен ден са открити следните уязвими лаптопи

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
HP вече се запозна с този проблем и обяви, че съвсем скоро ще предложи решение.
Най-вероятно обаче решението ще е замяна на едната шпионска система с друга. Американските корпорации служат на ЦРУ и трябва да осигуряват съответния достъп. Преди време избухна скандал, че устройствата на Епъл се връзват "по някаква причина" със сървърите на ФБР. А в Русия продуктите на ред компании вече се ползват в администрацията, едва след лицензиране от ФСБ (КГБ).

Източник: Калдата, с редакции...

Submit to FacebookSubmit to Google PlusSubmit to TwitterSubmit to LinkedIn




JSN Epic template designed by JoomlaShine.com