Bent u de eigenaar van een HP laptop? Lees dan aandachtig. Beveiliging onderzoekers van beveiligingsbedrijf Modzero kwam over een ingebouwde keylogger in een HP audio bestuurder tijdens het onderzoeken van Windows Active Domain infrastructuur.
"Veiligheid beoordelingen van de moderne Windows Active Domain infrastructuren - van ons standpunt - nogal ontnuchterend. Daarom, We kijken vaak naar links en rechts, wanneer, bijvoorbeeld, het onderzoeken van de verharding van mechanismen van een werkstation bescherming," de onderzoekers schreef.
Onderzoekers vinden Keylogger In een audio-Driver
Wat zou de reden van een keylogger in een audio-aandrijving, kan je je afvragen? Een ding dat opkomt is dat HP is het leveren van vooraf geïnstalleerde spyware, of het zelf een slachtoffer van backdoored software. Ook al is het niet precies duidelijk wie verantwoordelijk is voor de aanwezigheid van de keylogger, Bij zeker lastig.
Een andere vraag die gesteld moet worden is die ontwikkeld en de software is ondertekend, en het antwoord is de audio-chip fabrikant Conexant. Het bedrijf produceert geïntegreerde schakelingen, die uit een Amerikaanse wapenfabrikant, de onderzoekers wijzen erop. Omdat ze zich ontwikkelen circuits voor video en audio processing, het is een beetje logisch dat Conexant audio IC te worden ingevuld op de geluidskaarten van de verschillende computers.
Conexant ontwikkelt ook drivers voor de audio-chips, zodat het besturingssysteem kan communiceren met de hardware. Blijkbaar, er zijn een aantal onderdelen voor de controle van de audio-hardware, die zijn zeer specifiek en afhankelijk van de computer model – bijvoorbeeld speciale toetsen voor het in- of uitschakelen van een microfoon of besturen van de opname-lampje op de computer. In deze code, die lijkt te worden afgestemd op HP computers, Er is een deel dat onderschept en alle toetsenbordinvoer verwerkt.
Het oorspronkelijke doel van de software lijkt te zijn te herkennen of een speciale toets is ingedrukt of losgelaten. De software echter is afgestemd en de ontwikkelaar heeft een aantal diagnostische en debugging functies toegevoegd. De functies dienen om ervoor te zorgen dat alle toetsaanslagen “zijn ofwel uitgezonden via een debugging-interface of geschreven naar een logbestand in een openbare map op de harde schijf". belangwekkend, dit soort debugging letterlijk transformeert de audio driver in een keylogger, een vorm van spyware.
Wat erger is, is dat de keylogger blijkbaar aanwezig is geweest op HP computers sinds Kerstmis 2015 of zelfs eerder.
Versie 1.0.0.31 Dit programma werd later uitgebreid met nog problematischer functies: De meest recente versie 1.0.0.46 implementeert de logging van alle toetsaanslagen in het openbaar voor elke gebruiker leesbaar bestand C:\Users Public MicTray.log. Hoewel het bestand wordt overschreven na elke login, de inhoud is waarschijnlijk gemakkelijk worden gecontroleerd door het uitvoeren van processen of forensische gereedschappen.
De onderzoekers voegen hieraan toe dat zij enig bewijs van de keylogger opzettelijk geïmplementeerd niet kon vinden.