HP levert per vergissing keylogger op laptops
Veiligheidsbedrijf ModZero ontdekte dat op verschillende HP-laptops een keylogger staat die registreert wat je typt op de computer. Het stukje software is onderdeel van een driver voor audio.
Speciale toetsen
HP gebruikt audiochips van het Amerikaanse Conexant in sommige van zijn laptops, waarbij ook de nodige software en drivers horen. Het probleem ligt bij een functie die is toegevoegd om bugs eruit te halen. “Er zijn onderdelen voor de controle van audio-hardware die erg specifiek zijn en afhangen van het computermodel – bijvoorbeeld speciale toetsen om een microfoon af en aan te zetten of om de opname-LED op een computer te besturen. In deze code, die op maat lijkt gemaakt te zijn voor HP-computers, zit er een onderdeel dat alle input op het toetsenbord onderschept en verwerkt,” verklaart Mod Zero online.
Debug-bestand
Die code moet ervoor zorgen dat het systeem weet wanneer er een speciale audio-knop wordt ingedrukt, maar de ontwikkelaar heeft ervoor gekozen om de informatie die het over de toetsaanslagen verzamelt bij te houden en deze op te slaan in een logbestand op de harde schijf onder een map met de naam C:\Users\Public\MicTray.log. Als de map niet aanwezig is, worden de toetsaanslagen doorgegeven aan een debugging API. Dit maakt de functie, die is ingebouwd om problemen snel op te sporen, in essentie een keylogger is.
Oplossing
Omdat de driver gebruik maakt van een standaard debug API, kan elk programma dat met deze API werkt aangepast worden om de toetsaanslagen vast te leggen. ModZero gaat ervan uit dat Conexant de functie ter goeder trouw heeft opgezet, en niet de bedoeling had om een dergelijke kwetsbaarheid in te bouwen.
Het probleem is niet eenvoudig op te lossen. Een manier om de functie uit te schakelen is het volledig verwijderen van alle audio software van de laptop. Het verwijderen van het bestand MicTray64.exe werkt ook, maar kan betekenen dat je microfoon niet meer zal werken. Niettemin is dat laatste hetgene wat ModZero gebruikers aanraadt om te doen.
Update 12/05/2017, 9u37: Ondertussen heeft HP ons een reactie gestuurd op het nieuws: “HP zet zich in voor de veiligheid en privacy van haar klanten en het keylogger issue op een aantal HP PC’s is bij ons bekend. Dit issue geeft HP geen toegang tot de klantgegevens. Onze leverancier heeft software ontwikkeld om de audiofunctionaliteiten te testen voorafgaand aan de productlancering. Dit had niet in de laatste versie moeten zitten die is verstuurd. Een oplossing is beschikbaar via HP.com.”
Veiligheidsbedrijf ModZero ontdekte dat op verschillende HP-laptops een keylogger staat die registreert wat je typt op de computer. Het stukje software is onderdeel van een driver voor audio.
Speciale toetsen
HP gebruikt audiochips van het Amerikaanse Conexant in sommige van zijn laptops, waarbij ook de nodige software en drivers horen. Het probleem ligt bij een functie die is toegevoegd om bugs eruit te halen. “Er zijn onderdelen voor de controle van audio-hardware die erg specifiek zijn en afhangen van het computermodel – bijvoorbeeld speciale toetsen om een microfoon af en aan te zetten of om de opname-LED op een computer te besturen. In deze code, die op maat lijkt gemaakt te zijn voor HP-computers, zit er een onderdeel dat alle input op het toetsenbord onderschept en verwerkt,” verklaart Mod Zero online.
Debug-bestand
Die code moet ervoor zorgen dat het systeem weet wanneer er een speciale audio-knop wordt ingedrukt, maar de ontwikkelaar heeft ervoor gekozen om de informatie die het over de toetsaanslagen verzamelt bij te houden en deze op te slaan in een logbestand op de harde schijf onder een map met de naam C:\Users\Public\MicTray.log. Als de map niet aanwezig is, worden de toetsaanslagen doorgegeven aan een debugging API. Dit maakt de functie, die is ingebouwd om problemen snel op te sporen, in essentie een keylogger is.
Oplossing
Omdat de driver gebruik maakt van een standaard debug API, kan elk programma dat met deze API werkt aangepast worden om de toetsaanslagen vast te leggen. ModZero gaat ervan uit dat Conexant de functie ter goeder trouw heeft opgezet, en niet de bedoeling had om een dergelijke kwetsbaarheid in te bouwen.
Het probleem is niet eenvoudig op te lossen. Een manier om de functie uit te schakelen is het volledig verwijderen van alle audio software van de laptop. Het verwijderen van het bestand MicTray64.exe werkt ook, maar kan betekenen dat je microfoon niet meer zal werken. Niettemin is dat laatste hetgene wat ModZero gebruikers aanraadt om te doen.
Update 12/05/2017, 9u37: Ondertussen heeft HP ons een reactie gestuurd op het nieuws: “HP zet zich in voor de veiligheid en privacy van haar klanten en het keylogger issue op een aantal HP PC’s is bij ons bekend. Dit issue geeft HP geen toegang tot de klantgegevens. Onze leverancier heeft software ontwikkeld om de audiofunctionaliteiten te testen voorafgaand aan de productlancering. Dit had niet in de laatste versie moeten zitten die is verstuurd. Een oplossing is beschikbaar via HP.com.”