Windows 10 und der (potentielle) Keylogger

Noch ein kleiner Beitrag für Aluhut-Träger. Es geht um das Problem, dass unter Windows 10 Tastenanschläge vom Tastaturtreiber an Microsoft gesendet werden können. Im Rahmen der Verschwörungstheorien noch ein wenig Futter.


Anzeige

Ein Keylogger ist ein Programm, welches alle Tastenanschläge des Benutzers erfasst und irgendwo protokolliert. Möchte man nicht auf seinem System haben und Fälle, wo OEMs so etwas in Treibern integriert haben, führten zu Empörungswellen (siehe Artikellinks am Ende des Beitrags).

Ein Keylogger in Windows 10

Es ist informierten Benutzern bekannt, dass Windows 10 mit einem integrierten Keylogger daherkommt. Ursache war in früheren Versionen die Funktion Informationen zu meinem Schreibverhalten an Microsoft senden … (siehe auch). In aktuellen Windows 10 Builds habe ich diese Option aber nicht mehr gefunden. Unter Windows 10 V1803 gibt es aber noch die Funktion Eingabevorschläge in Windows 10, die jeglichen Tastenanschlag per Tastaturtreiber erfasst.

 Eingabevorschläge in Windows 10

Das ist m.E. aber in Windows 10 V1803 und höher nicht mehr notwendig, da die betreffende Option (zumindest auf meinem System, siehe obiger Screenshot) deaktiviert ist. Überprüfen lässt sich das Ganze in der Einstellungen-App, indem man auf Datenschutz und dann auf Spracherkennung, Freihand und Eingabe geht. Dort sollte die Schaltfläche Spracherkennungsdienste und Eingabevorschlänge aktivieren angezeigt werden. Dann ist die betreffende Funktion deaktiviert.


Anzeige

Eine weitere Option Freihand- und Eingabeerkennung verbessern der Kategorie Diagnose und Feedback, die auf meinem System aber auch auf Aus steht. Die älteren Beiträge hier und hier gehen auf die ungewollte Erfassung von Tastaturdaten durch Windows 10 ein.

Zeichnet die Mainboard-Firmware auch auf?

Am Wochenende bin ich auf diesen Post bei Google+ gestoßen. Dort befasst sich jemand mit dem Thema, dass ein Dual-Boot von Windows und Linux – im Hinblick auf Überwachung – keine gute Idee sei. Er meint entsprechende Funktionen in NSA-Hacking-Tools gefunden zu haben.

Why DUAL booting Windows and Linux is no good idea!

I always wondered about some strange code in hacking tools, that obviously belonged to NSA attack perimeter.

To store keyboard strokes, you normaly need a keyboard logger installed. French government offcially complained about Windows 10 keyboard drivers collecting data and sending it to Microsoft/NSA. That was easy to find with disassemblers.

But then i found out, that it doesn't even need to install a keyboard sniffer on USB controller. The controller has a direct connection to I²C bus. All your keyboard strokes are copied and sent over I²C bus, recorded by CMOS RAM on your motherboard and later then delayed sent to Microsoft/NSA.

Means: The trojan, in fact, is no longer encoded in the Windows drivers. Instead, it is deeply sticking in the motherboard firmware itself. And it simply doesn't play any role, what operating system you're running now. Your keystrokes are always recorded in background, independent of the OS, you're running, e.g. Ubuntu.

When you then switch back from e.g. Linux, FreeBSD, OpenBSD to Windows 10, all these recorded keystrokes are read out by Window10 and handed over to Microsoft/NSA. It's an encrypted datastream, that even is streaming, when you have all switches set to "off". On Windows 10 Home, most switches even are dummy switches.

Die Argumentation lautet, dass beim Booten unter Windows 10 die unter Linux im CMOS-RAM aufgezeichneten Tastenanschläge an Microsoft übertragen werden. Ob diese Theorie des Nutzers richtig ist, und alle Tastenanschläge per USB-HID-Controller über I²C im CMOS-RAM protokolliert (und beim Windows 10-Boot übertragen) werden, kann ich nicht überprüfen. Möglicherweise ist das was für Aluhut-Träger – aber nichts ist ausgeschlossen. Und ob die NSA da Möglichkeiten hat, einen Keylogger per Firmware zu aktivieren, wer weiß. Interessant ist auf jeden Fall, dass der Mechanismus zur Datenübertragung über I²C in diesem Dokument beschrieben ist.

Ähnliche Artikel:
Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden
Das HP-Audiotreiber Keylogger Placebo-Update
Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks
Malware: Fake Silverlight-Update mit Keylogger
MantisTek GK2 Tastatur mit (China) Keylogger
145 Android Play Store-Apps mit Windows Keylogger infiziert


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Windows 10 und der (potentielle) Keylogger

  1. woun prell sagt:

    Und was genau sollte es bringen, von Millionen(+) devices/Comps die Tastenanschläge mit zu schneiden? Damit schaffte man sich, wenn, einen riesigen 'Heuhaufen' in Größe der Erde – um dann darin eine Art Stecknadelkopf zu finden?!
    Sowas wär keine Strategie, sondern doch eher Schwachsinn – zumal man wohl nichts finden würde…

    • Günter Born sagt:

      Ich denke, die Überlegung des oben zitierten Posters ist eine andere: Die NSA hat in seinen Tools eine Angriffsmöglichkeit und kann diese gezielt für High-Potential-Ziele einsetzen. Da wäre das Heuhaufen-Thema ja nicht vorhanden. Aber die Diskussion auf G+ zeigt ja, dass es keinen harten Beweis, sondern nur Hinweise dazu gibt.

      Die andere Seite: Microsoft hat es bei Millionen Windows 10-Systemen bis vor kurzem standardmäßig ja wohl zur Verbesserung der Worterkennung verwendet. Also muss es Speicher- und Auswertekapazitäte ngeben.

      • Aluhut-Träger sagt:

        Heutzutage ist der "Heuhaufen" nicht mehr so undurchsichtig wie noch vor ein paar Jahren. Den Speicher den man für Tastenanschläge braucht ist nicht der rede wert und Algorithmen um hin zu durchforsten arbeiten sehr effizient.

      • woun prell sagt:

        gezielt für bestimmte Ziele – logo. so sehr sinnvoll. Jetzt mal von Angreiferseite aus betrachtet.
        ;-)
        Bedeutet dann aber eben im Umkehrschluss, wie indirekt bereits erwähnt, das sowas für OttoNormal eher weitgehend irrelevant ist. Der Tenor des artikels ist ein leicht anderer.
        nicht mehr, nicht weniger.

        Und was die mittlerweile rel. schnelle Durchforstbarkeit riesiger Datenberge, vulgo Heuhaufen, angeht. Das bringts nur, wenn die Nutzer "erkennbar"/unterscheidbar sind. Wenn sich viele in der Masse des gleichen "verstecken, tarnen" (stichwort canvas etc.) dann kann man die Datenberge noch so "schnell" durchsuchen, dann ist nix drin…
        siehe auch privacy-handbuch.de und früher jondonym.

    • Andreas sagt:

      Möglich ist alles, sowohl dass die Aussage stimmt als auch dass die entsprechende Person ein Aluhutträger ist oder sich einfach nur wichtig machen will.

      Auf jeden Fall ist das Argument von den ach so großen und deshalb nutzlosen weil unauswertbaren Datenmengen schon lange hinfällig – zum einen weil wir im Zeitalter von Big Data leben und zum anderen wegen der Veröffentlichungen von Snowden bzgl. der Analysewerkzeuge der NSA für die von ihr erfassten Datenberge.

    • Jana W. sagt:

      Ich sehe es nicht als technisches Problem in solch großen Datenmengen nach der Nadel im Heuhaufen zu suchen. Das sollte in wenigen Sekunden machbar sein. Apache UIMA und die Google Suche machen es tagtäglich vor, da sucht man mit wenigen Sucheingaben nach den richtigen Webseiten mit den richtigen Daten. Google liegt dabei meist bei wenigen Millisekunden. Die superschnelle Suche in unstrukturierten Daten gigantischen Ausmaßes stellen heute keine Hürde mehr dar.

  2. Das Problem gibts aber auch schon unter Windows 7 und Office 365/2013 dort wird nämlich mitlerweile der selbe Microsoft Maus Treiber wie unter Windows 10 verwendet.
    Und falls ich mich richtig erinnere wurde ich nach meinem ersten Großen Text ich glaube es waren 2 DIN A4 Seiten den ich im Office schrieb, gefragt wurde ob das Dokument zur Überprüfung an Microsoft gesendet werden soll, was ich natürlich dankend abgelehnt habe.
    Was wäre wohl passiert wenn ich wie so oft Okay geklickt hätte und bringt das überhaupt was ich auf Nein klicke?

    Aber wir wissen natürlich das alle Suchergebnisse und Links des Edge Browsers in der Cloud als Timeline gespeichert werden, diese kann ich zwar Online in meinem M$ Account wieder Löschen, nur was soll der Scheiß eigentlich, falls ich tatsächlich mal der Edge verwenden sollte und mir eine Seite und Suchergebnis gefällt dann setze ich mir doch einfach einen link, (dieser wird natürlich auch in meine Timeline übertragen, selbst wenn ich die Timeline nicht möchte) darum verwende ich schon mal einen anderen Browser.
    Falls ich wirklich wissen möchte wo ich gestern herum gesurft bin schaue ich dort in die Chronik dafür brauche ich keine Timeline in der Cloud wozu auch.
    So fanden sich diverse Einträge in meinem Microsoft Account Sicherheits Center von diversen vorinstallierten Microsoft Apps egal ob es sich um Bilder, Musik oder Videos handelt, ganz nebenbei finde ich diese Apps unausgereift und blöd weshalb ich die meisten auch gleich wieder deinstalliere falls sie Auftauchen und verwende lieber meine eigene Software.

    Im übrigen finde ich es Okay wenn mich jemand Aluhut träger nennt, ich habe damit kein Problem, mich interessiert es halt schon was mit meinen Daten Passiert soweit ich es überblicken kann.

  3. Hardy sagt:

    Kann es sein,das "Spracheinstellungen
    Tastaturen,Eingabemethoden,Anzeigesprache,persönliches Wörterbuch und mehr" bei Windows 8.1 Pro dieselbe Bedeutung haben?War immer der Meinung,das es sich hierbei um die Spracheneinstellung zB. handelt?
    Ich habe diese Einstellung nie für voll genommen!Für Einkäufe und Ähnlichem nehme ich zwar Ubuntu,aber einige Logins,wie z.B. auch Twitter wechsle ich nicht extra.
    Dazu habe ich in Ihrem Windows 8 Buch nichts gefunden?Nur noch kurz: warum steigert der deaktivierte Werbeblocker auf Ihrer Seite immer total die Leistung der CPU so hoch?

    • Günter Born sagt:

      Zu: 'Kann es sein,das "Spracheinstellungen
      Tastaturen,Eingabemethoden,Anzeigesprache,persönliches Wörterbuch und mehr" bei Windows 8.1 Pro dieselbe Bedeutung haben?' "

      Muss mal schauen, ob ich noch irgendwo eine W8.1 Maschine habe, die sich boten lässt. Mir sagt die Option jetzt nichts.

      Zu: 'Nur noch kurz: warum steigert der deaktivierte Werbeblocker auf Ihrer Seite immer total die Leistung der CPU so hoch?'

      Dazu kann ich final nichts sagen. Ich habe es gerade noch im Firefox und Chrome getestet. Browser aufrufen, keine Webseiten abrufen, sondern leerer Tab. Mehrere Prozesse im Taskmanager, von denen einer immer mal wieder bis zu 25% CPU Last zieht und den Speicherbedarf hoch setzt. Dann Test mit mehreren geöffneten Tabs mit Webseiten aus meinen Blogs. Die CPU-Leistung geht mal kurz auf 11 – 15% hoch, aber das schwankt.

      An dem Thema hier bin ich noch dran, komme aber nicht so recht weiter.

  4. Hardy sagt:

    kleiner Zusatz,natürlich meine ich zB englisch oder deutsche Tastatur,Schriftgröße,oder auch Text zu Sprache.Steht oben doch zu blöd!

  5. Hardy sagt:

    Hallo nochmal!
    Es ist der Firefox ESR und das Problem tritt immer auf Ihrer Seite mit deaktiviertem UBlock.Bei anderen Seite habe ich es noch nicht in diesem Ausmaß beobachtet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.