Onderzoekers van het Zwitserse beveiligingsbedrijf modzero hebben een keylogger in een audiodriver van Hewlett-Packard ontdekt die allerlei toetsaanslagen in een logbestand opslaat. Het gaat om een door audiochipfabrikant Conexant ontwikkelde driver voor geluidskaarten met een Conexant-chip.
HP-computers maken van de Conexant-chips gebruik, waarbij de computergigant de drivers van Conexant via de eigen website aanbiedt. Via de drivers kan de software met de hardware communiceren. Bij bepaalde computermodellen is deze controle nog verder uitgebreid, waarbij de audiohardware via bepaalde toetsen is te bedienen. Het gaat dan bijvoorbeeld om het in- of uitschakelen van de microfoon via speciale toetsen op het toetsenbord. Deze ondersteuning in de drivercode lijkt speciaal voor HP-computers te zijn ontwikkeld en zorgt ervoor dat alle toetsenbordaanslagen worden opgevangen en verwerkt.
Zodoende kan de software herkennen of er een speciale toets is ingedrukt om de hardware te bedienen. Volgens de onderzoekers van modzero hebben de ontwikkelaars van de driver verschillende diagnostische en debuggingfeatures toegevoegd die ervoor zorgen dat alle toetsaanslagen via een debugginginterface worden uitgezonden of in een logbestand in een map op de harde schijf worden opgeslagen.
"Deze vorm van debugging verandert de audiodriver in een keylogger", aldus onderzoeker Thorsten Schroeder. De keylogger zou sinds eind 2015 in de audiodriver aanwezig zijn. Een latere versie van de driver vergrootte het probleem, omdat alle toetsaanslagen in een publiek logbestand worden bewaard. Hoewel het bestand bij elk login van de gebruiker wordt overschreven zou de inhoud eenvoudig door forensische tools zijn te monitoren.
"Als je regelmatig een incrementele back-up van je harde schijf maakt, in de cloud of op een externe harde schijf, is er waarschijnlijk in je back-ups een geschiedenis van alle toetsaanslagen van de afgelopen jaren terug te vinden", laat Schroeder weten. Hij merkt op dat er geen aanwijzingen zijn dat de keylogger opzettelijk aan de driver is toegevoegd. "Het is nalatigheid van de ontwikkelaars, maar dat maakt de software niet minder schadelijk" , gaat de onderzoeker verder. Modzero waarschuwde zowel Conexant als HP voor de keylogger, maar kreeg geen reactie op het rapport. Daarop zijn de bevindingen openbaar gemaakt.
Eigenaren van een HP-computer krijgen het advies om te controleren of het programma C:\Windows\System32\MicTray64.exe of C:\Windows\System32\MicTray.exe op de computer geïnstalleerd is. Vervolgens moet het worden verwijderd of hernoemd, zodat de toetsaanslagen niet meer worden opgeslagen. Dit kan er echter wel voor zorgen dat de speciale toetsen op het toetsenbord niet meer werken. Verder moet het bestand C:\Users\Public\MicTray.log worden verwijderd, aangezien het gevoelige informatie zoals inloggegevens en wachtwoorden kan bevatten.
Deze posting is gelocked. Reageren is niet meer mogelijk.