Владельцы лэптопов HP EliteBook могут обнаружить, что девайс шпионит за ними. Устройство записывает каждую нажатую клавишу, утверждают эксперты швейцарской компании по кибербезопасности ModZero. Кейлоггер находится в драйверах аудио.
По данным ModZero, звуковой драйвер, который шпионит за клавиатурой, называется HP Audiodriver Packages / Conexant High-Definition (HD) Audio Driver Version 10.0.931.89. Этот пакет можно скачать по ссылке ftp://whp-aus1.cold.extweb.hp.com/pub/softpaq/sp79001-79500/sp79420.html. Он устанавливается на ноутбуки HP EliteBook G3 серий 725, 745, 755, 820, 828, 840, 848, 850, а также EliteBook 1030 G1. Этот драйвер используется в HP ProBook G2 серий 640, 650, 645, 655, 450, 430, 440, 446, 470, 455. С ним также совместимы ZBook 15u G3 Mobile Workstation, ZBook 17 G3 Mobile Workstation, ZBook 15 G3 Mobile Workstation, ZBook Studio G3 Mobile Workstation, EliteBook Folio G1, EliteBook Folio 1040 G3 и планшеты Elite x2 1012.
Однако эксперты ModZero говорят, что кейлоггер в драйверах не является способом тайного шпионажа за пользователями. Это пример того, насколько некачественно сегодня разрабатывают программные продукты.
Чтобы понять, почему кейлогер появился именно в драйверах аудио, надо вернуться в 2015 год. Тогда HP представила новые аудиодрайверы с расширенными диагностическими возможностями. Одной из них была функция, которая определяла нажатия специальной клавиши. Однако, говорят эксперты, программисты реализовали эту функцию некорректно, и драйвер начал перехватывать нажатия любых кнопок. Именно этим и занимаются шпионские программы – кейлоггеры.
Ситуация ухудшилась со следующим обновлением драйвера аудио, которое предоставило возможность записывать все нажатые клавиши в файл на диске. Его можно найти по адресу C:\Users\Public\MicTray.log. Этот файл автоматически удаляется при выходе из системы. Но в ModZero говорят, что при использовании инкрементных средств резервирования информации можно случайно создать архив со всей набранной на ноутбуке информацией.
Эксперты ModZero рекомендуют владельцам компьютеров HP проверить, установлена ли у них программа, по адресу C:\Windows\System32\MicTray64.exe или C:\Windows\System32\MicTray.exe. Если они найдут этот файл, тогда его стоит удалить или переименовать. Так звуковой драйвер перестанет вести себя как кейлогер, однако при этом перестанут работать специальные клавиши. Сам файл MicTray.log также следует удалить, поскольку в нем может содержаться чувствительная информация, например, пароли или банковские счета.