Более двух десятков моделей ноутбуков и планшетов HP поставляются со встроенным кейлоггером. Устройства без ведома пользователей записывают нажатия клавиш на клавиатуре и хранят их в незашифрованном файле на жестком диске.
Как сообщают эксперты швейцарской ИБ-компании Modzero, кейлоггер встроен в аудиодрайвер производства Conexant. Компонент драйвера MicTray64.exe является исполняемым файлом, позволяющим драйверу отвечать, когда пользователь нажимает определенные клавиши. Как оказалось, файл отправляет все строки на интерфейс отладки или записывает в журнал регистрации на диске C компьютера.
"Подобный способ отладки успешно превращает аудиодрайвер в шпионскую программу. Судя по метаданным файлов, кейлоггер присутствует в компьютерах HP по крайней мере с Рождества 2015 года", - сообщили исследователи.
Файл журнала (находится в C:UsersPublicMicTray.log) перезаписывается после каждой перезагрузки компьютера. Однако существует несколько способов, позволяющих его содержимому сохраняться в течение нескольких недель или даже постоянно. К примеру, перезаписанную или удаленную информацию можно легко восстановить с помощью инструментов для криминалистической экспертизы. Если регулярно делаются резервные копии содержимого компьютера, в бэкапах содержится все, что пользователь когда-либо набирал на клавиатуре, в том числе пароли, электронные письма и контакты.
Кейлоггер присутствует в устройствах HP EliteBook, HP ProBook, HP ZBook и HP Elite. Пользователи могут проверить свои компьютеры на наличие файла C:WindowsSystem32MicTray.exe или C:WindowsSystem32MicTray64.exe. Проблема также может затрагивать продукты других производителей, использующих аудиодрайверы Conexant.
Исследователи сообщили о кейлоггере HP и Conexant, однако ответа так и не получили, поэтому опубликовали подробный отчет о проблеме в Сети.
