{"id":190321,"date":"2017-05-16T07:43:35","date_gmt":"2017-05-16T05:43:35","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190321"},"modified":"2024-06-12T23:42:42","modified_gmt":"2024-06-12T21:42:42","slug":"das-hp-audiotreiber-keylogger-placebo-update","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/16\/das-hp-audiotreiber-keylogger-placebo-update\/","title":{"rendered":"Das HP-Audiotreiber Keylogger Placebo-Update"},"content":{"rendered":"<p>Heute spielen wir mal wieder guter Cop, b\u00f6ser Cop. Die Medien haben HP ja f\u00fcr seine schnelle Reaktion in der Audiotreiber mit Keylogger-Aff\u00e4re gelobt. Die Firma HP hat ein Update f\u00fcr den Audiotreiber bereitgestellt, welches den Keylogger in einigen Versionen entfernen soll. Glaubte man wenigstens, scheint aber ein Placebo zu sein. [<strong>Erg\u00e4nzung:<\/strong> Es gibt ein weiteres Update von HP, welches den Keylogger aus dem Treiber entfernt.]<\/p>\n<p><!--more--><\/p>\n<h3>Worum geht es?<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/ff643a065c7d497ab5cffa29b2eb34b2\" width=\"1\" height=\"1\" alt=\"\"\/>Auf einigen HP-Notebookmodellen mit Audio-Chips des Herstellers Conexant (die Liste ist in <a href=\"https:\/\/web.archive.org\/web\/20191009140227\/https:\/\/www.modzero.ch\/advisories\/MZ-17-01-Conexant-Keylogger.txt\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Security Advisory<\/a> nachschlagbar) wurde seit 2015 ein Audiotreiber mitgeliefert, der einen Keylogger enth\u00e4lt. Dieser protokolliert automatisch alle Tastenanschl\u00e4ge in einer von allen Benutzern einsehbaren Textdatei:<\/p>\n<p><em>C:\\Users\\Public\\MicTray.log<\/em><\/p>\n<p>Sicherheitsspezialist <a href=\"https:\/\/web.archive.org\/web\/20180824162630\/https:\/\/www.modzero.ch\/en\/about.html\">Thorsten Schr\u00f6der<\/a> hatte den Audiotreiber mit Keylogger bei der Untersuchung von HP-Notebooks in einem HP-Paket gefunden. Ich hatte den Sachverhalt ausgiebiger im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/11\/stop-keylogger-in-conexants-audiotreiber-auf-hp-notebooks\/\">Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks<\/a> besprochen.<\/p>\n<p>Wer eine beabsichtigte Backdoor vermutete, wurde dar\u00fcber belehrt, dass dies nicht der Fall w\u00e4re. Niemand hatte eine solche Absicht, HP sprach von einem 'Fehler' (bei heise.de lassen sich entsprechende <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Keylogger-auf-HP-Notebooks-Hersteller-gesteht-Fehler-ein-3712567.html\" target=\"_blank\" rel=\"noopener noreferrer\">Stellungnahmen nachlesen<\/a>). Und HP stellte auch sofort ein Update f\u00fcr den Treiber zur Verf\u00fcgung, der den Keylogger entfernt \u2013 so hie\u00df es \u2026<\/p>\n<h3>Keylogger aus, Keylogger an \u2013 kein Problem<\/h3>\n<p>Die Jungs sind aber Schweinepriester, oder in gro\u00dfer Eile und damit ungeschickt. Die haben von HP zwar ein Update f\u00fcr den Treiber herausgegeben, das den Keylogger scheinbar entfernt. Aber das ist nur ein Placebo. Sicherheitsspezialist <a href=\"https:\/\/web.archive.org\/web\/20180824162630\/https:\/\/www.modzero.ch\/en\/about.html\">Thorsten Schr\u00f6der<\/a> hat sich das Ganze angesehen und folgendes getwittert:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/HP?src=hash\">#HP<\/a> did not remove the <a href=\"https:\/\/twitter.com\/hashtag\/keylogger?src=hash\">#keylogger<\/a> functions in new version. Simply turn it on by setting SeeScanCode and EnableLog = 1 in Windows Registry. <a href=\"https:\/\/t.co\/321uLSDP7s\">pic.twitter.com\/321uLSDP7s<\/a><\/p>\n<p>\u2014 THS (@__ths__) <a href=\"https:\/\/twitter.com\/__ths__\/status\/863324677019770880\">13. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Also: Der Keylogger l\u00e4sst sich weiterhin aktivieren, indem in der Registrierung von Windows die DWORD-Eintr\u00e4ge <em>SeeScanCode=1<\/em> und <em>EnableLog = 1<\/em> gesetzt werden. Der Schl\u00fcssel f\u00fcr den Eintrag ist mir aber unbekannt. Man k\u00f6nnte mit dem Sysinternals Tool Procmon nachsehen, welche Schl\u00fcssel abgefragt werden.<\/p>\n<p>Erg\u00e4nzung: Gem\u00e4\u00df <a href=\"https:\/\/diablohorn.com\/2017\/05\/12\/repurposing-the-hp-audio-key-logger\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> sollte man wohl unter <em>HKEY_CURRENT_USER\\Software\\Conexant\\<\/em> suchen \u2013 w\u00fcrde nicht mal Administratorrechte ben\u00f6tigen. Denkbar w\u00e4re der gleiche Zweig unter HKLM.<\/p>\n<h3>Abschlie\u00dfende Gedanken<\/h3>\n<p>Wenn ich diesen Ansatz sehe, m\u00fcssen die Leute bei Conexant oder HP in gro\u00dfer Eile gewesen sein \u2013 oder man will nicht auf den Keylogger verzichten. Zu Debug-Zwecken kann ich das zwar auf der Maschine eines Ger\u00e4teentwicklers halbwegs nachvollziehen. Aber was will man auf Benutzermaschinen mit so was, wenn man es abschaltet. Entweder, man will f\u00fcr Diagnosezwecke remote den Keylogger aktivieren k\u00f6nnen (ob mit oder Einwilligung des Nutzers, ist erst einmal nicht relevant), oder hat etwas anderes im Sinn. Intransparent bleibt dies und HP ist erneut mit dem Finger im Honigtopf erwischt worden. Angesichts des WannaCry-Debakel die n\u00e4chste Backdoor, die einladend winkt. In <a href=\"https:\/\/diablohorn.com\/2017\/05\/12\/repurposing-the-hp-audio-key-logger\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> hat ja jemand skizziert, wie einfach mal das auf Remote umbiegen kann.(<a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/HP-liefert-Update-fuer-mitlesenden-Audiotreiber-3714096.html\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n<h3>Erg\u00e4nzung: Neues Conexant Audiotreiber-Update entfernt keylogger<\/h3>\n<p>Wie in den nachfolgenden Kommentaren, unter Bezug <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/HP-entfernt-Keylogger-vollstaendig-aus-Audiotreiber-3714808.html\" target=\"_blank\" rel=\"noopener noreferrer\">auf heise.de<\/a>, erw\u00e4hnt, hat HP ein weiteres Update f\u00fcr den\u00a0Conexant Audiotreiber auf einer<a href=\"https:\/\/web.archive.org\/web\/20240310024345\/https:\/\/support.hp.com\/us-en\/document\/c05519670\" target=\"_blank\" rel=\"noopener noreferrer\"> Security Bulletin-Seite<\/a> bereitgestellt. Wird zwar (zumindest habe ich beim schnellen \u00dcberfliegen) nicht erw\u00e4hnt, aber das neue Update entfernt wohl den Keylogger komplett. Geht auch aus folgendem Tweet hervor.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Aaaaaand it's gone&#8230; \/\/ cc <a href=\"https:\/\/twitter.com\/pHiPs209\">@pHiPs209<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/hp?src=hash\">#hp<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/conexant?src=hash\">#conexant<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/keylogger?src=hash\">#keylogger<\/a> <a href=\"https:\/\/t.co\/6tN3dwTnGU\">pic.twitter.com\/6tN3dwTnGU<\/a><\/p>\n<p>\u2014 THS (@__ths__) <a href=\"https:\/\/twitter.com\/__ths__\/status\/864142890121007106\">15. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Wenn HP noch so clever gewesen w\u00e4re,\u00a0<a href=\"https:\/\/web.archive.org\/web\/20180824162630\/https:\/\/www.modzero.ch\/en\/about.html\" target=\"_blank\" rel=\"noopener noreferrer\">Thorsten Schr\u00f6der<\/a>\u00a0\u00fcber die tempor\u00e4re Deaktivierung mit sp\u00e4ter nachzureichendem Update ohne den Keylogger, zu informieren, und h\u00e4tte man das auch noch im Support-Artikel kommuniziert, w\u00e4re die Welt ein St\u00fcckchen besser. H\u00e4tte man den Mist erst gar nicht auf die Rechner gelassen, w\u00e4re die Welt noch besser. Danke an den Kommentator f\u00fcr den Link &#8211; beim Schreiben des Beitrags habe ich den obigen Tweet, trotz Suche, nicht gefunden &#8211; h\u00e4tte eine zweite Suchmaschine bem\u00fchen m\u00fcssen &#8211; h\u00e4tte m\u00f6glicherweise auch hingehauen, wenn ich nicht vom Acker (zur Physiotherapie) gemusst h\u00e4tte . H\u00e4tte, h\u00e4tte Fahrradkette &#8211; wusste schon Peer Steinbr\u00fcck &#8230;<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/11\/stop-keylogger-in-conexants-audiotreiber-auf-hp-notebooks\/\">Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/10\/13\/firmware-update-hp-office-jets-mgen-wieder-fremdtinte\/\">Firmware-Update: HP-Office Jets m\u00f6gen wieder Fremdtinte<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/07\/03\/schwachstelle-bios-bug-in-lenovo-system-management-mode\/\">Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/26\/murmeltiertag-sicherheitslcke-in-lenovo-solution-center\/\">Murmeltiertag: Sicherheitsl\u00fccke in Lenovo Solution Center<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/03\/achtung-lenovo-accelerator-application-deinstallieren\/\">Windows 10: Lenovo Accelerator Application deinstallieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/05\/07\/wieder-sicherheitslcke-in-lenovo-solution-center\/\">Wieder Sicherheitsl\u00fccke in Lenovo Solution Center<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/12\/15\/ca-zertifikat-fr-bluetooth-auf-lenovo-rechnern\/\">CA-Zertifikat f\u00fcr Bluetooth auf Lenovo-Rechnern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/12\/07\/sicherheitslcken-bei-dell-lenovo-toshiba-durch-pups\/\">Sicherheitsl\u00fccken bei Dell, Lenovo, Toshiba durch PUPs\u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/07\/05\/hardware-whitelisting-bei-lenovo-gerten\/\">Hardware-Whitelisting bei Lenovo-Ger\u00e4ten?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute spielen wir mal wieder guter Cop, b\u00f6ser Cop. Die Medien haben HP ja f\u00fcr seine schnelle Reaktion in der Audiotreiber mit Keylogger-Aff\u00e4re gelobt. Die Firma HP hat ein Update f\u00fcr den Audiotreiber bereitgestellt, welches den Keylogger in einigen Versionen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/16\/das-hp-audiotreiber-keylogger-placebo-update\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[1032,6163,4328,4315],"class_list":["post-190321","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-hp","tag-keylogger","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190321"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190321\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}