¿Eres dueño de un ordenador portátil HP? A continuación, lea cuidadosamente. Los investigadores de seguridad de la empresa de seguridad Modzero se encontraron con un capturador de teclado integrado en un controlador de audio de HP mientras se examina la infraestructura de dominio de Windows Active.
"Las revisiones de seguridad de las infraestructuras de dominio de Active Windows modernos son - desde nuestro punto de vista - bastante aleccionador. Por lo tanto, que a menudo mirar a la izquierda y la derecha, cuándo, por ejemplo, examinar el endurecimiento de los mecanismos de protección de una estación de trabajo," los investigadores escribió.
Los investigadores encuentran Keylogger En un controlador de audio
¿Cuál sería la razón de un keylogger en una unidad de audio, usted puede preguntarse? Una cosa que viene a la mente es que HP es la entrega de pre-instalado el software espía, o es en sí mismo una víctima de software backdoored. A pesar de que no es del todo claro quién es responsable de la presencia del keylogger, el caso es ciertamente problemático.
Otra pregunta que debe hacerse es que desarrolló el software y firmado, y la respuesta es el fabricante de chips de audio Conexant. La empresa fabrica circuitos integrados, que emerge de un fabricante de armamentos de EE.UU., los investigadores señalan. Porque se desarrollan circuitos de video y procesamiento de audio, es algo lógico que los CI de audio Conexant a estar ocupados en las tarjetas de sonido de varios ordenadores.
Conexant también desarrolla los conductores de sus chips de audio, de manera que el sistema operativo es capaz de comunicarse con el hardware. Al parecer,, hay algunas partes para el control del hardware de audio, que son muy específicos y dependen del modelo de ordenador – por ejemplo, teclas especiales para encender o apagar un micrófono o controlar la grabación de LED en el equipo. En este código, que parece estar adaptado a los equipos HP, hay una parte que intercepta y procesa toda la entrada de teclado.
El propósito inicial del software parece ser reconocer si una llave especial ha sido presionado o liberado. El software embargo, se ha adaptado y el desarrollador ha añadido una serie de funciones de diagnóstico y depuración. Las características sirven para asegurar que todas las pulsaciones de teclado “son o bien transmitido a través de una interfaz de depuración o escrita a un archivo de registro en un directorio público en el disco duro". Curiosamente, este tipo de depuración transforma literalmente el controlador de audio en un keylogger, una forma de software espía.
Lo que es peor es que el keylogger aparentemente ha estado presente en los ordenadores de HP desde la Navidad 2015 o incluso antes.
Versión 1.0.0.31 de este programa se extendió posteriormente por funciones aún más problemático: La versión más reciente 1.0.0.46 implementa el registro de todas las pulsaciones en el público por cualquier archivo legible por el usuario C:\Users Public MicTray.log. A pesar de que el archivo se sobrescribe después de cada inicio de sesión, el contenido es probable que se controla fácilmente mediante procesos o herramientas forenses correr.
Los investigadores añaden que no pudieron encontrar ninguna evidencia de que el keylogger está aplicando intencionadamente.