Аудиодрайвер ноутбуков HP по ошибке действовал как кейлоггер

Швейцарская фирма modzero, специализирующаяся на вопросах безопасности, 28 апреля обнаружила кейлоггер в ноутбуках HP, а 11 мая оповестила об этом публику. Эту неприятную функциональность нашли в драйвере Conexant HD Audio Driver Package версии 1.0.0.46.

Этот аудиодрайвер лучше всего описывается словом «кейлоггер», поскольку записывает все нажатия клавиш и сохраняет информацию в локальном файле, доступ к которому может получить любой человек, обладающий физическим доступом к компьютеру, или вредоносное ПО, которое знает, где искать.

А искать надо в одном из файлов аудиодрайвера, MicTray64.exe (C:\windows\system32\mictray64.exe).

И как так вышло?

Основная цель MicTray64.exe — считывать все нажатия клавиш, сделанные пользователем, чтобы зафиксировать и отреагировать на нажатие клавиш управления звуком. Кейлоггером его делает то, что все данные сохраняются в файле MicTray.log, который находится в папке C:\users\public, а значит, прочитать или скопировать этот файл может кто угодно. Он обновляется при каждом входе пользователя в систему.

Если же данный файл не существует, или ключ реестра, отвечающий за путь к файлу, был поврежден, аудиодрайвер передает собранную информацию локальному API OutputDebugString. Таким образом злоумышленники могут следить за тем, что вы набираете у себя на клавиатуре в режиме «онлайн», без опасений быть обнаруженными.

И в каких ноутбуках есть этот аудиодрайвер?

Исследователи modzero обнаружили предустановленный Conexant HD Audio Driver Package на 28 моделях ноутбуков HP. Другие модели, использующие этот драйвер, тоже могут быть затронуты, но официально это не подтверждено. Вот список уязвимых моделей:

HP все исправила

12 мая HP выпустила обновление, чтобы убрать кейлог-механизм из драйвера своих ноутбуков. Оно уже доступно для моделей как 2016, так и 2015 года. Получить его можно через Центр обновлений Windows или по этой прямой ссылке. Примечание к обновлению можно найти здесь.

Обновление HP не только удаляет возможности кейлоггера, но также файл, куда сохранялись все нажатия клавиш. Пользователи, имеющие резервные копии, должны проявить осторожность, чтобы не восстановить более старую версию этого файла. Напомним, что он обычно хранится по адресу C:\Users\Public\MicTray.log.

Вице-президент HP Майк Нэш отметил, что дополнительная «функциональность» аудиодрайвера была побочным результатом процесса отладки — её просто забыли удалить. На устройствах других производителей, использующих такую же версию драйвера, кейлоггер обнаружен не был.