Audio-Treiber von HP belauscht Tastatur

Bei der Sicherheits-Analyse von HP-Business-Notebooks stießen Sicherheitsforscher auf ein merkwürdiges Keylogging. Dabei schreibt der Audio-Treiber alle Tastatureingaben einschließlich der Passwörter des Anwenders in eine öffentlich lesbare Datei.

Der vom Hersteller der Komponente Conexant gelieferte Treiber MicTray64.exe ist ab Werk auf HP-Notebooks der Serien EliteBook, ProBook, Elite x2 und ZBook installiert. Er klinkt sich in die Windows-Tastatureingabe-Funktionen ein, um auf Spezialtasten wie die zum Ändern der Lautstärke passend reagieren zu können. Das entspricht dem, was man von einem Audio-Treiber erwartet. Darüber hinaus schreibt der Treiber jedoch alle Tasten-Codes in die öffentlich lesbare Datei C:\Users\Public\MicTray.log

Bei der 32-Bit Version heisst die Datei übrigens „MicTray.exe“.

Das Problem scheint nicht neu zu sein. Thorsten Schröder von modzero, der den Keylogger bei einem Security-Review im Auftrag eines großen Konzerns gefunden hatte, fand das Keylogging in Treibern, die bereits 2015 erstellt wurden. Es handelt sich dabei wohl um eine vergessene Debug-Funktion des Herstellers. „Ich habe keine Hinweise auf eine bösartige Hintertür gefunden“ erkärte Schröder gegenüber heise Security.

Wir glauben, dass alle anderen Hersteller identische Hardware und somit ähnliche oder gleiche Treiber verwenden. Außerdem gibt es nur eine Handvoll OEM Hersteller, die für den gesamten Weltmarkt produzieren. Somit dürfte sich dieser Treiber auch auf anderen Systemen finden. Welche das sind, können wir zum derzeitigen Zeitpunkt nicht sagen.

Wenn man die Software entfernt, gehen Lautstärketasten trotzdem noch. Es gibt User, die einen betroffenen HP-Laptop besitzen und die die Software als „Es ist nicht nur schlecht gemacht, es ist völlig überflüssig“ bewerten.

Mehr Informationen erhalten Sie hier bei heise.de

Empfehlung

Ob das eigene Notebook betroffen ist, kann man an der Existenz der Log-Datei beziehungsweise mit dem Tool DebugView der SysInternals-Suite feststellen. Um sich zu schützen, kann man behelfsmäßig die Treiberdatei MicTray64.exe entfernen. Das führt allerdings dazu, dass zumindest die Hotkeys nicht mehr funktionieren.

Bei Rückfragen helfen wir Ihnen gerne.

 

Mehr Informationen zu diesem Thema auf heise.de

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

10 + 6 =