Schweizisk sikkerhedsfirma: HP-lyddriver gemmer ALLE tastetryk i 'C:\Users\Public\'

Modzero mener at have fundet keylogger-funktionalitet i lyd-drivere til HP-computere.

Det schweiziske it-sikkerhedsfirma Modzero har kigget nærmere på indholdet af en lyd-driver-pakke til en række windows-computere fra HP. Det er der blevet et blogindlæg ud af, som kan læses her.

Sikkerhedsfirmaet oplyser på bloggen, at de er stødt på intet mindre end en keylogger i driverne.

Men som The Next Web bemærker, lader keylogger-funktionalitet dog mere til at være resultatet af inkompetence frem for en decideret bevidst implementering af en bagdør.

Den slags er naturligvis svært at vide med sikkerhed, men ud fra detaljerne i blogindlægget kunne det nu godt tyde på, at der er ‘blot’ er tale om dårligt design, selvom den slags - som med alt andet cyber - kan være vanskeligt at vide med sikkerhed.Bedøm eventuelt selv.

Hvorom alting er, så oplyser Modzero, at det faktisk er chipproducenten Conexant, der står bag driversoftwaren til en stribe HP-computere.

Modzero pointerer, at det ikke er unormalt, at lyd-kredsløb fra Conexant ligger i diverse computere fra forskellige producenter. Og altså også i computere fra HP.

I den forbindelse oplyser Modzero, at der tilsyneladende er dele af styringen til lydhardwaren, der er specifik i forhold til computermodellen - eksempelvis særlige taster til at tænde og slukke for mikrofonen på computeren.

Og i denne kode, der ifølge Modzero ser ud til at være skræddersyet til HP-computere, er der dele, som opfanger og behandler alle keyboard-input.

Tastetryk bliver skrevet til en logfil på harddisken

Modzero oplyser, at formålet med softwaren her er at holde øje med, om en bestemt tast er blevet trykket. Eksempelvis i forhold til mikrofonen som nævnt ovenfor.

Men her skulle udvikleren - igen ifølge Modzero - have indlagt funktioner til diagnosticering og debugging. Og disse funktioner bevirker, at alle tastetryk enten bliver sendt gennem et debugging-interface eller bliver skrevet til en logfil på harddisken. Altså i udgangspunktet kodeord og så videre.

»Denne form for debugging forvandler effektivt lyd-driveren til keylogging-spyware,« bemærker Modzero i indlægget.

Keyloggeren har eksisteret siden 2015

Virksomheden har også kigget lidt på filernes metadata og fundet frem til, at keylogger-funktionaliteten har eksisteret mindst siden julen 2015. Siden da skulle softwaren faktisk være blevet udvidet med mere problematisk funktionalitet, oplyser Modzero.

I version 1.0.0.46 skulle lyd-driver-pakken således logge alle tastetryk og placere dem i mappen C:\Users\Public\MicTray.log - den skulle være tilgængelig for alle brugere.

»Selvom filen bliver overskrevet efter hvert login, så kan indholdet sandsynligvis let overvåges af kørende processer og forensic-værktøjer. Hvis du løbende laver inkrementale backups af din harddisk - uanset om det er i skyen eller på en ekstern harddisk - så kan en historik af alle tastatur-tryk fra de sidste par år sikkert findes i dine backups,« står der i Modzero-indlægget, der har Thorsten Schroeder som afsender.

HP er tavse som graven

Hverken HP Inc. eller Conexant Systems Inc. har svaret på henvendelser fra Modzero, fremgår det af indlægget. Og derfor har Modzero valgt at offentliggøre detaljer om problematikken, selvom ingen af de involverede virksomheder har bekræftet log-problemstillingen eller rettet op på den.

Version2 har heller ikke umiddelbart kunnet få en kommentar fra HP. Vi vender tilbage med en opdatering, skulle sådan en dukke op. (Se opdatering med kommentar fra HP længere nede, red.)

Modzero har lavet en mere teknisk Security Advisory her, hvor der også er en liste med HP-computere, som skulle være berørte af problemstillingen. Den ser således ud:

   HP EliteBook 820 G3 Notebook PC
   HP EliteBook 828 G3 Notebook PC
   HP EliteBook 840 G3 Notebook PC
   HP EliteBook 848 G3 Notebook PC
   HP EliteBook 850 G3 Notebook PC
   HP ProBook 640 G2 Notebook PC
   HP ProBook 650 G2 Notebook PC
   HP ProBook 645 G2 Notebook PC
   HP ProBook 655 G2 Notebook PC
   HP ProBook 450 G3 Notebook PC
   HP ProBook 430 G3 Notebook PC
   HP ProBook 440 G3 Notebook PC
   HP ProBook 446 G3 Notebook PC
   HP ProBook 470 G3 Notebook PC
   HP ProBook 455 G3 Notebook PC
   HP EliteBook 725 G3 Notebook PC
   HP EliteBook 745 G3 Notebook PC
   HP EliteBook 755 G3 Notebook PC
   HP EliteBook 1030 G1 Notebook PC
   HP ZBook 15u G3 Mobile Workstation
   HP Elite x2 1012 G1 Tablet
   HP Elite x2 1012 G1 with Travel Keyboard
   HP Elite x2 1012 G1 Advanced Keyboard
   HP EliteBook Folio 1040 G3 Notebook PC
   HP ZBook 17 G3 Mobile Workstation
   HP ZBook 15 G3 Mobile Workstation
   HP ZBook Studio G3 Mobile Workstation
   HP EliteBook Folio G1 Notebook PC

Opdateret med kommentar fra HP 15. maj

Efter artiklens tilblivelse har HP sendt følgende skriftlige kommentar via virksomhedens danske PR-bureau:

»HP har en stor forpligtelse over for vores kunders sikkerhed og privatliv, og vi er opmærksomme på keylogger-problematikken på udvalgte HP Pc’er. HP har ingen adgang til kundedata på baggrund af denne sag. Vores leverandørpartnere udviklede software til at teste lydfunktionaliteten forud for produktlancering, og den software skulle ikke have være inkluderet i den endelige, afsendte version. Der vil snart være en løsning tilgængelig på www.HP.com.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bente Hansen

at det kun er professionelle udgaver af PC'er som er ramt. Så det kan være tale om industrispionage.
Hvis ikke at det kun er pro. udgaver der har lydchips af denne type.

Man skal nok passe meget på med at tage sølvpapirshatten på. For USA spioner jo kun for at forhindre terror. ikke for at bygge bagdøre og lave sikkerhedshuller, så de kan spionere mod borger og firmaer fra venligsindet lande.

  • 2
  • 6
Log ind eller Opret konto for at kommentere