Драйвера для звуковых карт в ноутбуках НР вот уже два года поставляются со встроенным кейлоггером



    Корпорация HP продает большое количество разнообразной техники, включая несколько десятков моделей ноутбуков и планшетов. Как оказалось, драйвера, которые поставляются компанией для своих устройств, содержат встроенный кейлоггер. Речь идет о драйверах для звуковой карты. Кейлоггер фиксирует все нажатия клавиш пользователя и сохраняет полученные данные в зашифрованный файл на жестком диске компьютера.

    Это не разработка киберпреступников, а вполне официальный софт. Производителем драйвера, о котором идет речь, является не сама компания HP, а ее партнер, поставщик аудиочипов Conexant. Один из компонентов драйвера, элемент MicTray64.exe, выполняет отслеживание и запись нажатий клавиш пользователя компьютера или ноутбука с установленным драйвером.

    Собственно, компонент, о котором идет речь, следит за нажатиями клавиш пользователей для того, чтобы уловить специальную комбинацию кнопок. Речь идет о так называемых «горячих клавишах», которые используются для управления драйвером и параметрами звука. Но то, что компонент не делает ничего плохо, не отменяет того факта, что это чистой воды кейлоггер. «Такой способ работы превращает драйвер звука в эффективный кейлоггер», — говорит представитель швейцарской компании Modzero. Причем компонент, о котором идет речь, стал частью драйвера звука, начиная с конца 2015 года. Получается, что вот уже около двух лет звуковые драйвера для ноутбуков HP поставляются с интегрированным официальным кейлоггером.

    Файл, куда записываются нажатия кнопок клавиатуры расположен по адресу C:\Users\Public\MicTray.log (можете проверить наличие этого файла, если у вас ноутбук от HP). Его содержимое затирается при каждой перезагрузке ПК. Но есть много вариантов, когда система не обнуляет файл. Кроме того, если в Windows настроено архивирование, то MicTray.log со всеми данными сохраняется в архиве. При желании его можно с легкостью найти и просмотреть содержимое.


    «MicTray64.exe от Conexant устанавливается вместе с аудиодрайвером звука Conexant, планировщик Windows запускает его при загрузке системы и последующем логине пользователя. Программа регистрирует все нажатия клавиш, которые выполняет пользователь и реагирует при регистрации определенной комбинации… Если файл MicTray.log отсутствует в системе, то все нажатия клавиш передаются в OutputDebugString API, что позволяет получать эту информацию любому процессу, и для антивирусного ПО все это не является подозрительными действиями. В версии файла 10.0.0.31 регистрации нажатий клавиш и передача данных использовалась только с функцией OutputDebugString без записи в файл», — говорится в опубликованном анализе аудиодрайвера НР от Modzero.

    По мнению экспертов по кибербезопасности, этот компонент аудиодрайвера с легкостью позволяет злоумышленнику получить данные пользователя. Да, содержимое файла шифруется, но восстановить данные из файла совсем несложно. Пользователи ноутбуков от НР вообще не в курсе того, что их данные пишутся в файл таким вот незамысловатым образом. Причем для кейлоггера нет различия в том, что это за данные — курсовая работа или доступ к счету в банке.

    Для злоумышленников здесь огромные возможности. Можно каким-либо образом похищать файл с сохраненными нажатиями. А можно создать ПО, которое будет подключаться к API драйвера для сохранения и последующей передачи информации, о которой шла речь выше.

    Модельный ряд ноутбуков HP включает серии HP EliteBooks, HP ProBooks, HP ZBooks, and HP Elites. Вполне может быть, что проблема актуальна не только для ноутбуков НР, а вообще для всех устройств с чипами от Conexant. Проверить свою систему можно, просмотрев файлы в следующих местах: C:\Windows\System32\MicTray.exe или C:\Windows\System32\MicTray64.exe. Пока точно известно, что проблема сохраняется для целого ряда моделей:

    Открыть список уязвимых ноутбуков
    HP EliteBook 820 G3 Notebook PC
    HP EliteBook 828 G3 Notebook PC
    HP EliteBook 840 G3 Notebook PC
    HP EliteBook 848 G3 Notebook PC
    HP EliteBook 850 G3 Notebook PC
    HP ProBook 640 G2 Notebook PC
    HP ProBook 650 G2 Notebook PC
    HP ProBook 645 G2 Notebook PC
    HP ProBook 655 G2 Notebook PC
    HP ProBook 450 G3 Notebook PC
    HP ProBook 430 G3 Notebook PC
    HP ProBook 440 G3 Notebook PC
    HP ProBook 446 G3 Notebook PC
    HP ProBook 470 G3 Notebook PC
    HP ProBook 455 G3 Notebook PC
    HP EliteBook 725 G3 Notebook PC
    HP EliteBook 745 G3 Notebook PC
    HP EliteBook 755 G3 Notebook PC
    HP EliteBook 1030 G1 Notebook PC
    HP ZBook 15u G3 Mobile Workstation
    HP Elite x2 1012 G1 Tablet
    HP Elite x2 1012 G1 with Travel Keyboard
    HP Elite x2 1012 G1 Advanced Keyboard
    HP EliteBook Folio 1040 G3 Notebook PC
    HP ZBook 17 G3 Mobile Workstation
    HP ZBook 15 G3 Mobile Workstation
    HP ZBook Studio G3 Mobile Workstation
    HP EliteBook Folio G1 Notebook PC

    Что касается компании HP, то ее представители уже ознакомились с проблемой и заявили, что сотрудники ликвидируют проблему в ближайшее время. «Мы нашли решение и сделаем его доступным для наших пользователей», — заявили в компании.

    HP — не единственный производитель и поставщик ноутбуков, чье ПО содержит проблемные элементы. В 2015 году стала известной проблема программного обеспечения ноутбуков от Lenovo. Кейлоггеров там не было, зато практически на всех машинах устанавливалась программа Superfish, которая анализировала трафик пользователя, изучала картинки товаров и вставляла в браузер рекламу этих товаров из сторонних магазинах. Причем такая реклама вставлялась даже в результаты поиска в Google.



    В том же 2015 году обнаружилось, что предустановленный в операционной системе ноутбуков Dell XPS 15 сертификат безопасности ненадежен. Дело в том, что ключ и пароль этого сертификата совпадал для всех ноутбуков этой модели.

    Можно предположить, что на самом деле проблем с уязвимостью ПО поставляемых на рынок электронных устройств очень много, причем специалисты по инфобезу обнаруживают лишь малую толику проблемных мест. В итоге уязвимости могут оставаться открытыми годами, а этим уже пользуются киберпреступники.
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 65
    • +1

      Зачем он нужен?

      • +16
        Зачем нужны HP после такого?
        • 0
          А какие остались альтернативы?
          • 0
            А что, мало на рынке виндовых буков?
            • +3
              И кто знает, какие в них аналогичные сюрпризы.
              • +1
                Так остальные ещё хуже, либо уже спалились, либо вообще не вызывают доверия. Техника сейчас настолько сложна, что в написании софта под неё участвуют десятки компаний.
                • –1
                  Ну назовите трёх производителей приличных виндовых ноутбуков для работы, от среднего ценового сегмента и выше. Ну там чтобы были надёжными, производительными и батарею держали хотя бы часов 8 в «офисном» режиме, при весе <= 1.5 кг. И чтобы среди них не было упомянутых в статье HP и Lenovo.
                  Разваливающуюся за год китайчатину под брендами асусь, сумсанг и пр. не предлагать.
                  • +1
                    Dell, Sony, Toshiba, Microsoft, наконец. Хуже выбор ноутбуков с матовым экраном.
                    • 0
                      Sony давным-давно покинула рынок ноутбуков.
                      • 0
                        Да, Sony продала свой ноутбучный бизнес, но ноутбуки VAIO позже выпускала Japan Industrial Partners, и, хотя уже не выпускает — в продаже они всё ещё встречаются.
                    • 0
                      Dell с Lenovo обосрались на домашних погремушках, а у Хапе в списке только корпоративные модели, причем кейлоггер не в какой-то бесполезной утилите.
                    • 0
                      А прелесть вышеперечисленных моделей разве не в том что есть вариант без предустановленной windows?
                    • 0
                      ThinkPad и Latitude.
                    • 0
                      Да железо у них, в принципе, не плохое за разумную цену. Тут скорее косяк производителя драйвера для чипа. Поэтом установил на HP Probook Linux и не знаю беды (или не знаю, что не знаю :-)
                      • 0
                        Зачем нужны HP после такого?

                        Ничего, что проблема не в НР, а в Conexant?
                        • 0
                          Да ничего, вот только такой именитый производитель как HP должен тщательнее верифицировать продукцию поставщиков.
                          • 0
                            Окей, вот представьте, вы работаете в HP, в отделе выбора поставщиков.
                            Какие процедуры верификации вы бы придумали не зная об этом конкретном случае, чтобы его предотвратить?

                            • +3
                              Как человек, ничегошеньки не смыслящий во всех этих индустриальных юридических делах предложил бы заключать c «подрядчиками» контракт, предусматривающий серьёзные штрафы при обнаружении уязвимостей, которые отвечают определённым критериям. Всё таки косяк может и на совести Conexant, но репутационные потери в глазах рядовых покупателей понесёт именно HP и как-то защищать себя нужно.
                              • 0
                                Во-во! Контракт. Типичное неправильное решение. А потому что формальное. Но в мозги хомячкам залиты юридические помои.

                                Надо элементарно поиграть с драйвером, посмотреть, что он делает системным монитором. Это называется тестирование. Это азы. Драйверу писать что-то в файл на диске вообще нет надобности. Никакого технического анализа драйвера со строны HP не проводилось 100%.
                          • 0

                            А пользователям нет дела до того, кто из партнёров НР накосячил, им есть дело только до того, что уязвимость идёт из коробки вместе с ноутбуком НР.

                      • 0
                        Теперь и HP, грустно всё это.
                        • +1
                          Я так понимаю, это не HP виноваты, а поставщик драйвера? И можно просто не пользоваться утилитой, которая следит за нажатыми клавишами — достаточно отключить её автозапуск?
                          • +5
                            Ага, никто не виноват…
                            Раз HP поставляет этот драйвер значит она его должна была проверить.
                            Запускает её похоже драйвер звука, поэтому так просто не отключить.
                            • –4
                              Они его брендировали? Нет! Только сделали установщик, для однообразности с остальными дровами. А утилита MicTray собственность и ответственность Conexant.
                              • +9
                                HP продает конечный продукт. Значит они ответственны.
                                • +2
                                  Ну ответственны, кто спорит, но не виноваты же. Есть разница.
                            • +1
                              HP тоже виноваты, их же поставщик. Другое дело, что Conexant вместо того, чтобы просто ловить кнопки ещё и логируют их. И это уже довольно подозрительно. А отключение автозапуска приведёт к утере части функционала, т.е. невозможности пользоваться хоткеями для софтины Conexant`а, а то и вовсе невозможно будет звуком управлять.
                            • 0
                              Самое-то смешное, такие «логгеры» «поставляют» все кому не лень (если говорить о конечных производителях софта), nVidia, Intel, AMD, Realtek ..., почти все производители ноутбуков… Посмотрите на все их программы, каждая желает услужить горячими клавишами.
                              Подумаем — есть «горячие клавиши» для выполнения каких-то, иногда даже полезных, действий и как оно должно работать, ожидая нужную комбинацию, без отслеживания нажатий кнопок? Да, здесь конечно «случился эпикфейл» с записью в файл, такой доступный и уязвимый. Но ещё раз — отслеживают (и могут сливать без такого палева) и те кто не пишет в такой файл, способов десятки. Те же «отчёты», поминаемой ХП, могли бы содержать ту же самую информацию и даже больше.

                              #тлен_и_безысходность
                              • +1
                                Не писал программ, которые взаимодействовали бы с клавиатурой, но подозреваю, что надо пользоваться WinAPI-функциями для ожидания нажатия нужных клавиш, а не перехватывать всё, что сыпется в порт клавиатуры.
                                • 0
                                  Ну да, вариант хороший, наверное. Но допустим, все стали делать именно так, вы тут же станете им всем доверять на 100% или ...? ;)
                                  • 0
                                    Нет такого WinAPI, чтобы слушать только нужные клавиши. Есть Windows Hooks, которые вешаются на любые события от клавиатуры, и приложение само должно фильтровать нужные ему сочетания клавиш.
                                    • +3
                                      А WM_HOTKEY?
                                      • 0
                                        Хм, не знал про такое, спасибо.
                                        • 0
                                          Minimum supported client
                                          Windows 2000 Professional [desktop apps only]

                                          Новьё ))
                                      • +1

                                        WM_HOTKEY — довольно ограниченный API, позволяющий отслеживать только сам факт вызова хоткея и ничего больше.


                                        Например, когда я писал софт для читерства в одной игре, мне важно было:


                                        • ловить не только нажатие, но и отжатие клавиш;
                                        • блокировать определённые комбинации клавиш и клики мышкой, чтобы они не доходили до игры;
                                        • чтобы софт работал под WindowsXP (давно это было, да).

                                        Единственный возможный вариант в этом случае — глобальный LowLevelKeyboardHook.

                                        • 0
                                          Например, когда я писал софт для читерства в одной игре, мне важно было:

                                          ловить не только нажатие, но и отжатие клавиш;
                                          блокировать определённые комбинации клавиш и клики мышкой, чтобы они не доходили до игры;
                                          чтобы софт работал под WindowsXP (давно это было, да).


                                          А в нормальном софте такое нужно? Нет. Поэтому и в «стоковых» ноутах HP такого не должно быть.
                                          • 0

                                            Push-to-Talk для микрофона — это вполне естественное действие.

                                      • +2
                                        даже если слушать все клавиши, зачем их в файл то писать?
                                        • 0
                                          Может, разработчик не очень умный, решил писать не в память, а в файл, а потом читать оттуда?
                                          • +1
                                            То есть ума перехватывать нажатия клавиш — хватило, а делать это через память — нет?
                                  • 0
                                    Вот поэтому, сношу весь шлак, который предустановлен на компе с коробки. Ибо нефиг систему загружать всякой бесполезной дрянью.
                                    С драйверами, конечно, сложнее…
                                    • 0
                                      Не совсем понятно — проблема только в драйвере, поставляемом HP, или в WindowsUpdate драйвер тоже с багом?

                                      Если я поставил на ноут HP Win10, и ограничился теми драйверами, что система поставила сама — ничего не скачивая с сайта HP, мне надо озадачиться ликвидацией потенциальной дыры?
                                      • +1
                                        Проблема вообще не в драйвере, это «особенность» работы программы MicTray — которую пишет и вкладывает в дрова Conexant.
                                        • +1
                                          Забавно, сегодня вместе с интеловским апдейтом на Win10 прилетел апдейт от Conexant, и молча 5 минут что-то делал. Никакой информации об изменениях в журнале обновлений и по ссылке «Дополнительные сведения» нет.

                                          PS: Наверное, обновили кейлоггер, чтобы не так в глаза бросался. (ноут HP Probook 430G3, ОС ставилась с сайта MS, ничего с HP не скачивал).
                                      • +1

                                        А зачем вообще, по крайней мере официально, производители заливают в ноутбуки свой говнософт? Ну т.е. я могу понять зачем производители телефонов пихают туда всякие яндекс-переводчики. А вот все эти минитулзы, которые маркетинговых преимуществ не дают, стоят денег, раздражают пользователей и несут репутационные риски с какой целью пишутся?

                                        • 0
                                          Считается, что они маркетинговые преимущества как раз дают.
                                          Нам не дано понять, что творится в головах у маркетологов…
                                        • +1
                                          Ад какой-то. После такого зашквара нужно полностью прекращать корпоративные закупки от этой марки и искать других, нормальных партнеров.
                                          • 0
                                            Ага, тем более EliteBook считаются «корпоративными» ноутбуками.
                                            • 0
                                              После такого зашквара

                                              Давно с зоны откинулись? ;)

                                              искать других, нормальных партнеров.

                                              Переходите на новину и прочие fsf-сертифицированные ноуты?

                                              А всё потому, что мир изменился и теперь каждый норовит следить. А в основных десктопных осях до сих пор используется увечная система разрешений, когда разрешения не требуются вообще. В принципе разрешения возможно впилить в существующее API (что виндовое (причём не в WinRT, а в старое WinAPI), что линуксовое) без поломки совместимости, подобным давно занимаются авторы руткитов, антивирусов и песочниц, но это до сих пор не сделано в ОСях.

                                            • 0
                                              Не до конца понимаю вопрос. Это относится только к Windows с драйвером от Conexant, или же для Linux это также актуально? Допустим, я купил HP Pavilion (его в списке уязвимых нет, но не суть), снёс Windows, накатил Ubuntu 16.04. Там на звуковуху будет сторонний открытый драйвер, писаный сообществом, или же Ubuntu при установке будет использовать драйвер от Conexant для Linux, в которой возможна аналогичная кейлоггерная активность?
                                              Просветите, кто в теме.
                                              • +1
                                                ДА отстаньте вы от драйверов и от ХП, не в них дело :D. И не в ноутбуках, а в конкретной маленькой софтинке, которую пишет и предоставляет Conexant, и свои дрова предоставляет она не только ХП. Дело в утилите! Отдельной утилите — MicTray. Да она лежит внутри комплекта драйвера, но это отдельная утилита и устанавливается отдельно (у неё отдельный инсталлятор, который конечно же может автоматически и скрыто запускаться, но он отдельный), её даже можно удалить. :)

                                                Ну нет в этих ваших линуксах такой программы, откуда она там возьмётся?

                                                P.S. пытаюсь сообразить, как совместить картинку «белки истерички» и «учёный изнасиловал журналиста»… ну и «фэйспалм» ещё присовокупить :D
                                              • 0
                                                «Мы нашли решение и сделаем его доступным для наших пользователей», — заявили в компании.

                                                Звучит словно они новую фичу пользователям предлагают.

                                                Тут бы «мы срочно выпускаем security обновление, оповестим всех пользователей и проведем расследование драйверов от других поставщиков».
                                                • 0
                                                  а поможет если сделать chown nobody:nobody C:\Users\Public\MicTray.log && chmod 600 C:\Users\Public\MicTray.log?
                                                  ну, в виндовом формате конечно, через свойства прав доступа.
                                                  • 0
                                                    Цитирую по буквам:
                                                    Если файл MicTray.log отсутствует в системе, то все нажатия клавиш передаются в OutputDebugString API, что позволяет получать эту информацию любому процессу, и для антивирусного ПО все это не является подозрительными действиями.

                                                  • +1
                                                    Да ладно, людям пофиг. И пока людям пофиг, почему бы конторам и не делать. Легально и приемлемо большинством.

                                                    Superfish не привел ни к искам ни к падению продаж леновы. Как и закладка в BIOS. Народ сожрал и попросил еще. Lenovo поимела с этого профит.

                                                    Не контора виновата. Если большинство это приемлет, ну ок, воля большинства, все счастливы, нашли друг друга.

                                                    P.S. Это, кстати, не только софта касается. Посмотришь иногда на ситуацию, ну ок, люди не против, чего за них переживать, переживалка сломается.

                                                    ИМХО
                                                    • 0
                                                      Когда речь на хабре или гиктаймсе заходит про непорядочность многих вендоров (легальный функционал типа RAT и тому подобных), как правило сообщество разводит руками, какие, например непорядочные?

                                                      PS: привет яндексу
                                                      • 0
                                                        Купил ноут — переставь винду сразу.
                                                        • 0

                                                          И как это поможет? Либо винда автоматом подтянет те же самые дырявые драйвера, либо их поставите вы сами вручную.

                                                          • –1
                                                            Современные звуковухи нормально работают на виндовых драйверах
                                                            • +1
                                                              Пока не подключишь лаптоп к какому-нибудь устройству
                                                            • +1
                                                              Бывают нюансы. У меня на MSI GT72S адаптер Realtek ALC899 сконфигурирован и подключен так, что основные динамики и сабвуфер висят на независимых подустройствах, какими их и видит стандартный виндовый драйвер. Чтобы сабвуфер работал одновременно с левым/правым каналами, нужен драйвер от Realtek. А он, кстати, периодически виснет, да и по размеру просто неимоверен, там слона спрятать не проблема.
                                                          • 0
                                                            А лицензия? Покупать отдельную?
                                                            • +1
                                                              Если винда была в комплекте — какие проблемы?

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.