Корпорация HP продает большое количество разнообразной техники, включая несколько десятков моделей ноутбуков и планшетов. Как оказалось, драйвера, которые поставляются компанией для своих устройств, содержат встроенный кейлоггер. Речь идет о драйверах для звуковой карты. Кейлоггер фиксирует все нажатия клавиш пользователя и сохраняет полученные данные в зашифрованный файл на жестком диске компьютера.
Это не разработка киберпреступников, а вполне официальный софт. Производителем драйвера, о котором идет речь, является не сама компания HP, а ее партнер, поставщик аудиочипов Conexant. Один из компонентов драйвера, элемент MicTray64.exe, выполняет отслеживание и запись нажатий клавиш пользователя компьютера или ноутбука с установленным драйвером.
Собственно, компонент, о котором идет речь, следит за нажатиями клавиш пользователей для того, чтобы уловить специальную комбинацию кнопок. Речь идет о так называемых «горячих клавишах», которые используются для управления драйвером и параметрами звука. Но то, что компонент не делает ничего плохо, не отменяет того факта, что это чистой воды кейлоггер. «Такой способ работы превращает драйвер звука в эффективный кейлоггер», — говорит представитель швейцарской компании Modzero. Причем компонент, о котором идет речь, стал частью драйвера звука, начиная с конца 2015 года. Получается, что вот уже около двух лет звуковые драйвера для ноутбуков HP поставляются с интегрированным официальным кейлоггером.
Файл, куда записываются нажатия кнопок клавиатуры расположен по адресу C:\Users\Public\MicTray.log (можете проверить наличие этого файла, если у вас ноутбук от HP). Его содержимое затирается при каждой перезагрузке ПК. Но есть много вариантов, когда система не обнуляет файл. Кроме того, если в Windows настроено архивирование, то MicTray.log со всеми данными сохраняется в архиве. При желании его можно с легкостью найти и просмотреть содержимое.
«MicTray64.exe от Conexant устанавливается вместе с аудиодрайвером звука Conexant, планировщик Windows запускает его при загрузке системы и последующем логине пользователя. Программа регистрирует все нажатия клавиш, которые выполняет пользователь и реагирует при регистрации определенной комбинации… Если файл MicTray.log отсутствует в системе, то все нажатия клавиш передаются в OutputDebugString API, что позволяет получать эту информацию любому процессу, и для антивирусного ПО все это не является подозрительными действиями. В версии файла 10.0.0.31 регистрации нажатий клавиш и передача данных использовалась только с функцией OutputDebugString без записи в файл», — говорится в опубликованном анализе аудиодрайвера НР от Modzero.
По мнению экспертов по кибербезопасности, этот компонент аудиодрайвера с легкостью позволяет злоумышленнику получить данные пользователя. Да, содержимое файла шифруется, но восстановить данные из файла совсем несложно. Пользователи ноутбуков от НР вообще не в курсе того, что их данные пишутся в файл таким вот незамысловатым образом. Причем для кейлоггера нет различия в том, что это за данные — курсовая работа или доступ к счету в банке.
Для злоумышленников здесь огромные возможности. Можно каким-либо образом похищать файл с сохраненными нажатиями. А можно создать ПО, которое будет подключаться к API драйвера для сохранения и последующей передачи информации, о которой шла речь выше.
Модельный ряд ноутбуков HP включает серии HP EliteBooks, HP ProBooks, HP ZBooks, and HP Elites. Вполне может быть, что проблема актуальна не только для ноутбуков НР, а вообще для всех устройств с чипами от Conexant. Проверить свою систему можно, просмотрев файлы в следующих местах: C:\Windows\System32\MicTray.exe или C:\Windows\System32\MicTray64.exe. Пока точно известно, что проблема сохраняется для целого ряда моделей:
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
Что касается компании HP, то ее представители уже ознакомились с проблемой и заявили, что сотрудники ликвидируют проблему в ближайшее время. «Мы нашли решение и сделаем его доступным для наших пользователей», — заявили в компании.
HP — не единственный производитель и поставщик ноутбуков, чье ПО содержит проблемные элементы. В 2015 году стала известной проблема программного обеспечения ноутбуков от Lenovo. Кейлоггеров там не было, зато практически на всех машинах устанавливалась программа Superfish, которая анализировала трафик пользователя, изучала картинки товаров и вставляла в браузер рекламу этих товаров из сторонних магазинах. Причем такая реклама вставлялась даже в результаты поиска в Google.
В том же 2015 году обнаружилось, что предустановленный в операционной системе ноутбуков Dell XPS 15 сертификат безопасности ненадежен. Дело в том, что ключ и пароль этого сертификата совпадал для всех ноутбуков этой модели.
Можно предположить, что на самом деле проблем с уязвимостью ПО поставляемых на рынок электронных устройств очень много, причем специалисты по инфобезу обнаруживают лишь малую толику проблемных мест. В итоге уязвимости могут оставаться открытыми годами, а этим уже пользуются киберпреступники.
Комментарии (65)
LoadRunner
12.05.2017 15:14+1Я так понимаю, это не HP виноваты, а поставщик драйвера? И можно просто не пользоваться утилитой, которая следит за нажатыми клавишами — достаточно отключить её автозапуск?
grayich
12.05.2017 15:47+5Ага, никто не виноват…
Раз HP поставляет этот драйвер значит она его должна была проверить.
Запускает её похоже драйвер звука, поэтому так просто не отключить.
Ezhyg
12.05.2017 16:18-4Они его брендировали? Нет! Только сделали установщик, для однообразности с остальными дровами. А утилита MicTray собственность и ответственность Conexant.
huankun
15.05.2017 14:20+1HP тоже виноваты, их же поставщик. Другое дело, что Conexant вместо того, чтобы просто ловить кнопки ещё и логируют их. И это уже довольно подозрительно. А отключение автозапуска приведёт к утере части функционала, т.е. невозможности пользоваться хоткеями для софтины Conexant`а, а то и вовсе невозможно будет звуком управлять.
Ezhyg
12.05.2017 16:23Самое-то смешное, такие «логгеры» «поставляют» все кому не лень (если говорить о конечных производителях софта), nVidia, Intel, AMD, Realtek ..., почти все производители ноутбуков… Посмотрите на все их программы, каждая желает услужить горячими клавишами.
Подумаем — есть «горячие клавиши» для выполнения каких-то, иногда даже полезных, действий и как оно должно работать, ожидая нужную комбинацию, без отслеживания нажатий кнопок? Да, здесь конечно «случился эпикфейл» с записью в файл, такой доступный и уязвимый. Но ещё раз — отслеживают (и могут сливать без такого палева) и те кто не пишет в такой файл, способов десятки. Те же «отчёты», поминаемой ХП, могли бы содержать ту же самую информацию и даже больше.
#тлен_и_безысходностьLoadRunner
12.05.2017 16:26+1Не писал программ, которые взаимодействовали бы с клавиатурой, но подозреваю, что надо пользоваться WinAPI-функциями для ожидания нажатия нужных клавиш, а не перехватывать всё, что сыпется в порт клавиатуры.
Ezhyg
12.05.2017 16:42Ну да, вариант хороший, наверное. Но допустим, все стали делать именно так, вы тут же станете им всем доверять на 100% или ...? ;)
lam0x86
12.05.2017 17:25Нет такого WinAPI, чтобы слушать только нужные клавиши. Есть Windows Hooks, которые вешаются на любые события от клавиатуры, и приложение само должно фильтровать нужные ему сочетания клавиш.
kryvichh
12.05.2017 18:57+3А WM_HOTKEY?
DistortNeo
13.05.2017 00:02+1WM_HOTKEY — довольно ограниченный API, позволяющий отслеживать только сам факт вызова хоткея и ничего больше.
Например, когда я писал софт для читерства в одной игре, мне важно было:
- ловить не только нажатие, но и отжатие клавиш;
- блокировать определённые комбинации клавиш и клики мышкой, чтобы они не доходили до игры;
- чтобы софт работал под WindowsXP (давно это было, да).
Единственный возможный вариант в этом случае — глобальный LowLevelKeyboardHook.
relia
13.05.2017 10:18Например, когда я писал софт для читерства в одной игре, мне важно было:
ловить не только нажатие, но и отжатие клавиш;
блокировать определённые комбинации клавиш и клики мышкой, чтобы они не доходили до игры;
чтобы софт работал под WindowsXP (давно это было, да).
А в нормальном софте такое нужно? Нет. Поэтому и в «стоковых» ноутах HP такого не должно быть.
nafikovr
13.05.2017 10:13+2даже если слушать все клавиши, зачем их в файл то писать?
nidalee
13.05.2017 15:25Может, разработчик не очень умный, решил писать не в память, а в файл, а потом читать оттуда?
LoadRunner
13.05.2017 22:30+1То есть ума перехватывать нажатия клавиш — хватило, а делать это через память — нет?
green_worm
12.05.2017 16:25Вот поэтому, сношу весь шлак, который предустановлен на компе с коробки. Ибо нефиг систему загружать всякой бесполезной дрянью.
С драйверами, конечно, сложнее…
YMA
12.05.2017 16:32Не совсем понятно — проблема только в драйвере, поставляемом HP, или в WindowsUpdate драйвер тоже с багом?
Если я поставил на ноут HP Win10, и ограничился теми драйверами, что система поставила сама — ничего не скачивая с сайта HP, мне надо озадачиться ликвидацией потенциальной дыры?Ezhyg
12.05.2017 16:39+1Проблема вообще не в драйвере, это «особенность» работы программы MicTray — которую пишет и вкладывает в дрова Conexant.
YMA
13.05.2017 08:09+1Забавно, сегодня вместе с интеловским апдейтом на Win10 прилетел апдейт от Conexant, и молча 5 минут что-то делал. Никакой информации об изменениях в журнале обновлений и по ссылке «Дополнительные сведения» нет.
PS: Наверное, обновили кейлоггер, чтобы не так в глаза бросался. (ноут HP Probook 430G3, ОС ставилась с сайта MS, ничего с HP не скачивал).
kir_rik
12.05.2017 16:46+1А зачем вообще, по крайней мере официально, производители заливают в ноутбуки свой
говнософт? Ну т.е. я могу понять зачем производители телефонов пихают туда всякие яндекс-переводчики. А вот все эти минитулзы, которые маркетинговых преимуществ не дают, стоят денег, раздражают пользователей и несут репутационные риски с какой целью пишутся?Ziptar
15.05.2017 07:52Считается, что они маркетинговые преимущества как раз дают.
Нам не дано понять, что творится в головах у маркетологов…
gLaStaRdiaN
12.05.2017 16:46+1Ад какой-то. После такого зашквара нужно полностью прекращать корпоративные закупки от этой марки и искать других, нормальных партнеров.
KOLANICH
12.05.2017 20:04После такого зашквара
Давно с зоны откинулись? ;)
искать других, нормальных партнеров.
Переходите на новину и прочие fsf-сертифицированные ноуты?
А всё потому, что мир изменился и теперь каждый норовит следить. А в основных десктопных осях до сих пор используется увечная система разрешений, когда разрешения не требуются вообще. В принципе разрешения возможно впилить в существующее API (что виндовое (причём не в WinRT, а в старое WinAPI), что линуксовое) без поломки совместимости, подобным давно занимаются авторы руткитов, антивирусов и песочниц, но это до сих пор не сделано в ОСях.
xmonoid
12.05.2017 16:46Не до конца понимаю вопрос. Это относится только к Windows с драйвером от Conexant, или же для Linux это также актуально? Допустим, я купил HP Pavilion (его в списке уязвимых нет, но не суть), снёс Windows, накатил Ubuntu 16.04. Там на звуковуху будет сторонний открытый драйвер, писаный сообществом, или же Ubuntu при установке будет использовать драйвер от Conexant для Linux, в которой возможна аналогичная кейлоггерная активность?
Просветите, кто в теме.Ezhyg
12.05.2017 17:07+1ДА отстаньте вы от драйверов и от ХП, не в них дело :D. И не в ноутбуках, а в конкретной маленькой софтинке, которую пишет и предоставляет Conexant, и свои дрова предоставляет она не только ХП. Дело в утилите! Отдельной утилите — MicTray. Да она лежит внутри комплекта драйвера, но это отдельная утилита и устанавливается отдельно (у неё отдельный инсталлятор, который конечно же может автоматически и скрыто запускаться, но он отдельный), её даже можно удалить. :)
Ну нет в этих ваших линуксах такой программы, откуда она там возьмётся?
P.S. пытаюсь сообразить, как совместить картинку «белки истерички» и «учёный изнасиловал журналиста»… ну и «фэйспалм» ещё присовокупить :D
saboteur_kiev
12.05.2017 17:33«Мы нашли решение и сделаем его доступным для наших пользователей», — заявили в компании.
Звучит словно они новую фичу пользователям предлагают.
Тут бы «мы срочно выпускаем security обновление, оповестим всех пользователей и проведем расследование драйверов от других поставщиков».
helg1978
12.05.2017 21:42а поможет если сделать chown nobody:nobody C:\Users\Public\MicTray.log && chmod 600 C:\Users\Public\MicTray.log?
ну, в виндовом формате конечно, через свойства прав доступа.
sumanai
12.05.2017 21:50Цитирую по буквам:
Если файл MicTray.log отсутствует в системе, то все нажатия клавиш передаются в OutputDebugString API, что позволяет получать эту информацию любому процессу, и для антивирусного ПО все это не является подозрительными действиями.
sotnikdv
13.05.2017 00:12+1Да ладно, людям пофиг. И пока людям пофиг, почему бы конторам и не делать. Легально и приемлемо большинством.
Superfish не привел ни к искам ни к падению продаж леновы. Как и закладка в BIOS. Народ сожрал и попросил еще. Lenovo поимела с этого профит.
Не контора виновата. Если большинство это приемлет, ну ок, воля большинства, все счастливы, нашли друг друга.
P.S. Это, кстати, не только софта касается. Посмотришь иногда на ситуацию, ну ок, люди не против, чего за них переживать, переживалка сломается.
ИМХО
r85qPZ1d3y
13.05.2017 05:43Когда речь на хабре или гиктаймсе заходит про непорядочность многих вендоров (легальный функционал типа RAT и тому подобных), как правило сообщество разводит руками, какие, например непорядочные?
PS: привет яндексу
Dioxin
15.05.2017 11:12Купил ноут — переставь винду сразу.
DistortNeo
15.05.2017 12:22И как это поможет? Либо винда автоматом подтянет те же самые дырявые драйвера, либо их поставите вы сами вручную.
Dioxin
16.05.2017 07:28-1Современные звуковухи нормально работают на виндовых драйверах
emusic
17.05.2017 11:34+1Бывают нюансы. У меня на MSI GT72S адаптер Realtek ALC899 сконфигурирован и подключен так, что основные динамики и сабвуфер висят на независимых подустройствах, какими их и видит стандартный виндовый драйвер. Чтобы сабвуфер работал одновременно с левым/правым каналами, нужен драйвер от Realtek. А он, кстати, периодически виснет, да и по размеру просто неимоверен, там слона спрятать не проблема.
Shished
Зачем он нужен?
Kenya-West
Зачем нужны HP после такого?
sumanai
А какие остались альтернативы?
ilyaplot
А что, мало на рынке виндовых буков?
Marsikus
И кто знает, какие в них аналогичные сюрпризы.
sumanai
Так остальные ещё хуже, либо уже спалились, либо вообще не вызывают доверия. Техника сейчас настолько сложна, что в написании софта под неё участвуют десятки компаний.
vanxant
Ну назовите трёх производителей приличных виндовых ноутбуков для работы, от среднего ценового сегмента и выше. Ну там чтобы были надёжными, производительными и батарею держали хотя бы часов 8 в «офисном» режиме, при весе <= 1.5 кг. И чтобы среди них не было упомянутых в статье HP и Lenovo.
Разваливающуюся за год китайчатину под брендами асусь, сумсанг и пр. не предлагать.
Sun-ami
Dell, Sony, Toshiba, Microsoft, наконец. Хуже выбор ноутбуков с матовым экраном.
Andrusha
Sony давным-давно покинула рынок ноутбуков.
Sun-ami
Да, Sony продала свой ноутбучный бизнес, но ноутбуки VAIO позже выпускала Japan Industrial Partners, и, хотя уже не выпускает — в продаже они всё ещё встречаются.
navion
Dell с Lenovo обосрались на домашних погремушках, а у Хапе в списке только корпоративные модели, причем кейлоггер не в какой-то бесполезной утилите.
Denai
А прелесть вышеперечисленных моделей разве не в том что есть вариант без предустановленной windows?
navion
ThinkPad и Latitude.
pesp
Да железо у них, в принципе, не плохое за разумную цену. Тут скорее косяк производителя драйвера для чипа. Поэтом установил на HP Probook Linux и не знаю беды (или не знаю, что не знаю :-)
myanacc1
Ничего, что проблема не в НР, а в Conexant?
relia
Да ничего, вот только такой именитый производитель как HP должен тщательнее верифицировать продукцию поставщиков.
GrigoryPerepechko
Окей, вот представьте, вы работаете в HP, в отделе выбора поставщиков.
Какие процедуры верификации вы бы придумали не зная об этом конкретном случае, чтобы его предотвратить?
UJIb9I4AnJIbIrUH
Как человек, ничегошеньки не смыслящий во всех этих индустриальных юридических делах предложил бы заключать c «подрядчиками» контракт, предусматривающий серьёзные штрафы при обнаружении уязвимостей, которые отвечают определённым критериям. Всё таки косяк может и на совести Conexant, но репутационные потери в глазах рядовых покупателей понесёт именно HP и как-то защищать себя нужно.
ACPrikh
Во-во! Контракт. Типичное неправильное решение. А потому что формальное. Но в мозги хомячкам залиты юридические помои.
Надо элементарно поиграть с драйвером, посмотреть, что он делает системным монитором. Это называется тестирование. Это азы. Драйверу писать что-то в файл на диске вообще нет надобности. Никакого технического анализа драйвера со строны HP не проводилось 100%.
Finesse
А пользователям нет дела до того, кто из партнёров НР накосячил, им есть дело только до того, что уязвимость идёт из коробки вместе с ноутбуком НР.