Das HP-Audiotreiber Keylogger Placebo-Update

Heute spielen wir mal wieder guter Cop, böser Cop. Die Medien haben HP ja für seine schnelle Reaktion in der Audiotreiber mit Keylogger-Affäre gelobt. Die Firma HP hat ein Update für den Audiotreiber bereitgestellt, welches den Keylogger in einigen Versionen entfernen soll. Glaubte man wenigstens, scheint aber ein Placebo zu sein. [Ergänzung: Es gibt ein weiteres Update von HP, welches den Keylogger aus dem Treiber entfernt.]


Anzeige

Worum geht es?

Auf einigen HP-Notebookmodellen mit Audio-Chips des Herstellers Conexant (die Liste ist in diesem Security Advisory nachschlagbar) wurde seit 2015 ein Audiotreiber mitgeliefert, der einen Keylogger enthält. Dieser protokolliert automatisch alle Tastenanschläge in einer von allen Benutzern einsehbaren Textdatei:

C:\Users\Public\MicTray.log

Sicherheitsspezialist Thorsten Schröder hatte den Audiotreiber mit Keylogger bei der Untersuchung von HP-Notebooks in einem HP-Paket gefunden. Ich hatte den Sachverhalt ausgiebiger im Blog-Beitrag Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks besprochen.

Wer eine beabsichtigte Backdoor vermutete, wurde darüber belehrt, dass dies nicht der Fall wäre. Niemand hatte eine solche Absicht, HP sprach von einem 'Fehler' (bei heise.de lassen sich entsprechende Stellungnahmen nachlesen). Und HP stellte auch sofort ein Update für den Treiber zur Verfügung, der den Keylogger entfernt – so hieß es …


Anzeige

Keylogger aus, Keylogger an – kein Problem

Die Jungs sind aber Schweinepriester, oder in großer Eile und damit ungeschickt. Die haben von HP zwar ein Update für den Treiber herausgegeben, das den Keylogger scheinbar entfernt. Aber das ist nur ein Placebo. Sicherheitsspezialist Thorsten Schröder hat sich das Ganze angesehen und folgendes getwittert:

Also: Der Keylogger lässt sich weiterhin aktivieren, indem in der Registrierung von Windows die DWORD-Einträge SeeScanCode=1 und EnableLog = 1 gesetzt werden. Der Schlüssel für den Eintrag ist mir aber unbekannt. Man könnte mit dem Sysinternals Tool Procmon nachsehen, welche Schlüssel abgefragt werden.

Ergänzung: Gemäß diesem Artikel sollte man wohl unter HKEY_CURRENT_USER\Software\Conexant\ suchen – würde nicht mal Administratorrechte benötigen. Denkbar wäre der gleiche Zweig unter HKLM.

Abschließende Gedanken

Wenn ich diesen Ansatz sehe, müssen die Leute bei Conexant oder HP in großer Eile gewesen sein – oder man will nicht auf den Keylogger verzichten. Zu Debug-Zwecken kann ich das zwar auf der Maschine eines Geräteentwicklers halbwegs nachvollziehen. Aber was will man auf Benutzermaschinen mit so was, wenn man es abschaltet. Entweder, man will für Diagnosezwecke remote den Keylogger aktivieren können (ob mit oder Einwilligung des Nutzers, ist erst einmal nicht relevant), oder hat etwas anderes im Sinn. Intransparent bleibt dies und HP ist erneut mit dem Finger im Honigtopf erwischt worden. Angesichts des WannaCry-Debakel die nächste Backdoor, die einladend winkt. In diesem Artikel hat ja jemand skizziert, wie einfach mal das auf Remote umbiegen kann.(via)

Ergänzung: Neues Conexant Audiotreiber-Update entfernt keylogger

Wie in den nachfolgenden Kommentaren, unter Bezug auf heise.de, erwähnt, hat HP ein weiteres Update für den Conexant Audiotreiber auf einer Security Bulletin-Seite bereitgestellt. Wird zwar (zumindest habe ich beim schnellen Überfliegen) nicht erwähnt, aber das neue Update entfernt wohl den Keylogger komplett. Geht auch aus folgendem Tweet hervor.

Wenn HP noch so clever gewesen wäre, Thorsten Schröder über die temporäre Deaktivierung mit später nachzureichendem Update ohne den Keylogger, zu informieren, und hätte man das auch noch im Support-Artikel kommuniziert, wäre die Welt ein Stückchen besser. Hätte man den Mist erst gar nicht auf die Rechner gelassen, wäre die Welt noch besser. Danke an den Kommentator für den Link – beim Schreiben des Beitrags habe ich den obigen Tweet, trotz Suche, nicht gefunden – hätte eine zweite Suchmaschine bemühen müssen – hätte möglicherweise auch hingehauen, wenn ich nicht vom Acker (zur Physiotherapie) gemusst hätte . Hätte, hätte Fahrradkette – wusste schon Peer Steinbrück …

Ähnliche Artikel:
Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks
Firmware-Update: HP-Office Jets mögen wieder Fremdtinte
Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode
Murmeltiertag: Sicherheitslücke in Lenovo Solution Center
Windows 10: Lenovo Accelerator Application deinstallieren
Wieder Sicherheitslücke in Lenovo Solution Center
CA-Zertifikat für Bluetooth auf Lenovo-Rechnern
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Hardware-Whitelisting bei Lenovo-Geräten?


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Das HP-Audiotreiber Keylogger Placebo-Update

  1. Karsten sagt:

    Laut gerade eben erschienener News bei Heise, https://www.heise.de/newsticker/meldung/HP-entfernt-Keylogger-vollstaendig-aus-Audiotreiber-3714808.html, wurde das jetzt richtig abgestellt.
    Der Trick mit der Registry funktioniert jetzt auch nicht mehr.

  2. Dominik sagt:

    Trend Micro Officescan erkennt mit der letzten definitionen die C:\Windows\System32\MicTray64.exe als Spyware und löscht diese

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.