Flere PC-er fra HP, blant annet enkelte HP Elitebook-modeller (bildet), har en lyddriver som logger tastetrykk.
Flere PC-er fra HP, blant annet enkelte HP Elitebook-modeller (bildet), har en lyddriver som logger tastetrykk. (Bilde: HP)

Alvorlig sikkerhetsbrudd: En rekke HP-PC-er har «keylogger» i lyddriveren

HP har nå kommet med oppdatering til driveren. 

Såkalte keyloggere (tasteloggere) – programvare som registrerer alle tastetrykk som blir gjort – er noe man normalt forbinder med skadevare fra aktører med onde hensikter.

Nå viser det seg imidlertid at en rekke PC-modeller fra HP har blitt levert med lyddrivere som inneholder en slik tastelogger. Det skriver det sveitsiske sikkerhetsselskapet Modzero.

Det er snakk om en lyddriver som er levert av selskapet Conexant, og som leveres med en rekke HP-PC-er i blant annet EliteBook- og ProBook-seriene. Driverne er utviklet og digitalt signert av Conexant. Selskapet leverer også lyddrivere til andre PC-produsenter, som Dell, Lenovo og Asus, men det er uklart om noen av disse selskapenes PC-er er berørt av problemene. 

Lagrer alle tastetrykk – også skjulte passord i tekstfil på disken

Lyddriverne sørger for at operativsystemet kan kommunisere med lyd-maskinvaren i PC-en. Ifølge Modzero inneholder de aktuelle lyddriverne i dette tilfellet kode som skal håndtere at brukeren trykker spesialtaster, for eksempel taster for å skru av og på mikrofonen.

I dette tilfellet har imidlertid utvikleren lagt inn en rekke diagnostikk- og debugfunksjoner som gjør at alle tastetrykk enten sendes via et debuggingsgrensesnitt eller skrives til en loggfil i en mappe på disken. 

Tastetrykkene lagres i en fil i Public-mappen i Windows, nærmere bestemt C:\Users\Public\MicTray.log. Alle tastetrykk – også passord som tastes i et skjult passordfelt – vil altså lagres i en fil som er tilgjengelig for samtlige brukere av maskinen, og for andre applikasjoner på PC-en.

Det at tastetrykk logges skyldes ifølge Extremetech.com feil eller svakheter i MicTray64.exe-applikasjonen. Denne er laget slik at den overvåker tastetrykk og responderer på dem, antagelig for å kunne respondere på at brukeren trykker en spesialtast for å skru av eller på mikrofonen. 

Hvis ikke loggfilen eksisterer, vil tastetrykkene sendes til OutputDebugString API-et, som betyr at informasjonen kan fanges opp av en hvilken som helst prosess i Windows uten at dette nødvendigvis kan identifiserer som et ondsinnet program. 

Feilen finnes i versjon 1.0.0.46 og tidligere av MicTray64, og Modzero tror ikke tasteloggeren er lagt inn med vilje. Driveren finnes til Windows 7 og Windows 10.

«Det er åpenbart en forsømmelse fra utviklernes side, men det gjør ikke programvaren mindre skadelig», skriver Modzero. 

Ifølge en detaljert logg fra Modzero oppdaget selskapet feilen den 28. april, og tok kontakt med HPE samme dag. HP er imidlertid for lengst splittet i to, og det er et annet selskap – HP Inc. som leverer PC-er. Den 5. mai opplyses det imidlertid i loggen at HPE skal ha sendt informasjonen videre til HP Inc. Verken HP Inc. eller Conexant har svart på henvendelsene fra Modzero, som derfor har valgt å gå ut med informasjon om tasteloggeren.

HP raskt ute med oppdatering

Administrerende direktør Verner Hølleland i HP Norge uttaler til digi.no at de tar denne sårbarheten svært alvorlig. 

Verner Hølleland, administrerende direktør i HP Norge.
Verner Hølleland, administrerende direktør i HP Norge. Foto: ORV

– HP har vært svært raske med å gjøre tilgjengelig oppdatering av den nevnte driveren fra vår underleverandør for de aktuelle produktene.

En ny versjon av driveren er nå tilgjengelig på HP.com, samt på Windows Update og er også automatisk distribuert via HP Support Assistant, opplyser Hølleland. 

– Så vidt jeg har fått informasjon om er dette snakk om en lokal loggfil som som resettes ved hver omstart og som ikke sender noe data eller gjør dette tilgjengelig for uvedkommende. Men det er selvfølgelig uheldig at slike feil oppstår og HP har et ansvar for å ivareta sikkerheten og personvernet til våre kunder.

Et tips kan være å sjekke om du har en fil som heter C:\Users\Public\MicTray.log. Denne bør du også slette, ettersom den kan inneholde sensitiv informasjon – som innloggingsinformasjon og passord. Sjekk gjerne innholdet i filen først, og inneholder den passord bør du vurdere å for sikkerhets skyld endre passord på de berørte kontoene dine. 

Disse PC-ene skal være berørt (trykk for å vise)
   HP EliteBook 820 G3 Notebook PC
   HP EliteBook 828 G3 Notebook PC
   HP EliteBook 840 G3 Notebook PC
   HP EliteBook 848 G3 Notebook PC
   HP EliteBook 850 G3 Notebook PC
   HP ProBook 640 G2 Notebook PC
   HP ProBook 650 G2 Notebook PC
   HP ProBook 645 G2 Notebook PC
   HP ProBook 655 G2 Notebook PC
   HP ProBook 450 G3 Notebook PC
   HP ProBook 430 G3 Notebook PC
   HP ProBook 440 G3 Notebook PC
   HP ProBook 446 G3 Notebook PC
   HP ProBook 470 G3 Notebook PC
   HP ProBook 455 G3 Notebook PC
   HP EliteBook 725 G3 Notebook PC
   HP EliteBook 745 G3 Notebook PC
   HP EliteBook 755 G3 Notebook PC
   HP EliteBook 1030 G1 Notebook PC
   HP ZBook 15u G3 Mobile Workstation
   HP Elite x2 1012 G1 Tablet
   HP Elite x2 1012 G1 with Travel Keyboard
   HP Elite x2 1012 G1 Advanced Keyboard
   HP EliteBook Folio 1040 G3 Notebook PC
   HP ZBook 17 G3 Mobile Workstation
   HP ZBook 15 G3 Mobile Workstation
   HP ZBook Studio G3 Mobile Workstation
   HP EliteBook Folio G1 Notebook PC

Kommentarer (1)

Kommentarer (1)
Til toppen