Lenovo også påvirket af keylogger-funktion i driver-software

Også Lenovo-computere lader til at indeholde en deaktiveret keylogger-funktion i touchpad-drivere.

Computere fra pc-mastodonten Lenovo indeholder efter alt at dømme også en keylogger-funktion i driver-software til touchpads.

I går kom det frem, at sikkerhedsforskeren Michael Myng havde fundet keylognings-funktionalitet i driver-software fra Synaptics til HP-computere.

Altså en funktion, der kan bruges til at opfange tastatur-tryk. Og det kan selvsagt udgøre et it-sikkerhedsmæssigt problem.

Funktionen skulle have fundet vej ind i softwaren i test-øjemed i forbindelse med udviklingen af softwaren.

Funktionen er i udgangspunktet deaktiveret, men ifølge Michael Myngs udlægning kan den dog aktiveres. Eksempelvis af en angriber. Det kræver dog administrative rettigheder på maskinen.

I sit indlæg fokuserer Myng på HP-computere. Synaptics software anvendes dog flere steder.

Og altså også på Lenovo-computere, fremgår af et mailsvar fra Lenovos pressekontakt for Norden og Benelux-landene Carina Van Vlerken sendt til Version2.

»Dette er et emne på tværs af branchen (eng. this is an industry wide topic), og det har også påvirket Lenovo, er jeg bange for,« oplyser Carina Van Vlerken i mail med henvisning til, at Synaptics-softwaren bliver brugt på mange systemer.

Via mail oplyser Carina Van Vlerken desuden, at Synaptics i denne uge informerede Lenovo om, at visse versioner af Synaptics touchpad-drivere har en potentiel sårbarhed i et værktøj til diagnosticering brugt i forbindelse med udvikling.

»Lenovo arbejder tæt sammen med Synaptics om at levere nye drivere så snart som muligt,« står der videre i svaret.

Carina Van Vlerken påpeger i det skriftlige svar, at det kræver administrative rettigheder at udnytte sårbarheden, og Lenovo råder i den forbindelse kunder til at følge 'best practice'.

Derudover henviser hun til Lenovos site for produktsikkerhed, hvor der vil blive bragt opdateringer.

Det ligger her: https://pcsupport.lenovo.com/us/en/product_security/home

I skrivende stund er der ikke noget nyt om Synaptics-driverne, men der skulle ifølge svaret fra Carina Van Vlerken dukke noget op i aften eller i morgen tidlig.

I den forbindelse skulle det også fremgå, hvilke pc-modeller der måtte være berørte af problematikken.

HP har vidst det i længere tid

Mens Lenovo ifølge svaret fra Carina Van Vlerken først er blevet orienteret af Synaptics om sårbarheden i denne uge, altså i dag eller i går, så har HP kendt til problemet i noget længere tid.

HP har således patched sårbarheden, ligesom virksomheden 7. november 2017 har udsendt en sikkerhedsmeddelelse om problemet. Og ifølge en kommentar fra Michael Myng (alias ZWClose) under det indlæg, hvor han fortæller om sårbarheden, så rapporterede han problemet til HP tilbage i august 2017.

Mens HP anerkender, at sårbarheden kan føre til 'tab af fortrolighed' (eng. loss of confidentiality), så har HP afvist, at virksomheden selv eller Synaptics skulle have fået adgang til kunders data som følge af funktionen.

Version2 har spurgt Lenovo om en kommentar til, at virksomheden ifølge Carina Van Vlerken først er blevet informeret af Synaptics i denne uge om driver-sårbarheden, når nu HP åbenbart har kendt til problemet i længere tid.

Carina Van Vlerken henviser i den forbindelse til Synaptics. Version2 har spurgt Synaptics om tidsforløbet i forhold til at orientere laptop-leverandører, der måtte være påvirkede af driver-sårbarheden. Vi vender tilbage, såfremt der kommer nævneværdigt nyt desangående.

Ovenstående er opdateret på baggrund af et svar fra Lenovo, der henviser til Synaptics i forhold til, hvornår laptop-leverandører er blevet orienterede om driver-problemet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
Cristian Ambæk

Dette er et emne på tværs af branchen (eng. this is an industry wide topic), og det har også påvirket Lenovo, er jeg bange for,

Bare rolig alle sammen, det er ikke kun HP og os der har problemet, det er alle.

Så det gør det ok <3

Lenovo over and out.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder