Власники лаптопів HP EliteBook можуть виявити, що девайс шпигує за ними. Пристрій записує кожну натиснуту клавішу, стверджують експерти швейцарської компанії з кібербезпеки ModZero. Кейлогер знаходиться в драйверах аудіо.
За даними ModZero, звуковий драйвер, який шпигує за клавіатурою, називається HP Audiodriver Packages / Conexant High-Definition (HD) Audio Driver Version 10.0.931.89. Цей пакет можна завантажити за посиланням ftp://whp-aus1.cold.extweb.hp.com/pub/softpaq/sp79001-79500/sp79420.html. Він встановлюється на ноутбуки HP EliteBook G3 серій 725, 745, 755, 820, 828, 840, 848, 850, а також EliteBook 1030 G1. Цей драйвер ще використовується в ProBook G2 серій 640, 650, 645, 655, 450, 430, 440, 446, 470, 455. З ним також сумісні ZBook 15u G3 Mobile Workstation, HP ZBook 17 G3 Mobile Workstation, ZBook 15 G3 Mobile Workstation, ZBook Studio G3 Mobile Workstation, HP EliteBook Folio G1, EliteBook Folio 1040 G3 та планшети Elite x2 1012.
Однак експерти ModZero кажуть, що кейлогер у драйверах не є способом таємного шпигування за користувачами. Це приклад того, наскільки неякісно сьогодні розробляють програмні продукти.
Щоб зрозуміти, чому кейлогер з’явився саме в драйверах аудіо, треба повернутися у 2015 рік. Тоді HP випустила нові аудіодрайвери з розширеними діагностичними можливостями. Однією з них була функція, яка визначала натиснення спеціальної клавіші. Однак, кажуть експерти, програмісти реалізували цю функцію некоректно, і драйвер почав перехоплювати натиснення будь-яких кнопок. Саме цим і займаються шпигунські програми – кейлогери.
Ситуація погіршилася з наступним оновленням аудіодрайвера, яке надало можливість записувати всі натиснуті клавіші у файл на диску. Його можна знайти за адресою C:\Users\Public\MicTray.log. Цей файл автоматично очищується при виході із системи. Але в ModZero кажуть, що при використанні інкрементних засобів резервування інформації можна ненавмисно створити архів з усією набраною на ноутбуці інформацією.
Експерти ModZero рекомендують власникам комп’ютерів HP перевірити, чи встановлена в них програма, за адресою C:\Windows\System32\MicTray64.exe або C:\Windows\System32\MicTray.exe. Якщо вони знайдуть цей файл, тоді його варто видалити чи перейменувати. Так звуковий драйвер перестане поводитися як кейлогер, однак при цьому перестануть працювати спеціальні клавіші. Сам файл MicTray.log також варто видалити, оскільки в ньому може міститися чутлива інформація, наприклад, паролі чи банківські рахунки.
Ой-ёёёёё