{"id":198501,"date":"2017-12-10T12:37:13","date_gmt":"2017-12-10T11:37:13","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198501"},"modified":"2024-06-12T23:43:31","modified_gmt":"2024-06-12T21:43:31","slug":"keylogger-in-hp-notebook-synaptics-treibern-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/10\/keylogger-in-hp-notebook-synaptics-treibern-gefunden\/","title":{"rendered":"Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden"},"content":{"rendered":"

Auf \u00fcber 460 HP Notebook-Modellen wurde mal wieder ein Keylogger in den Treibern von Synaptics gefunden. Der Keylogger war zwar dieses Mal deaktiviert, konnte aber durch einen Registry-Eintrag jederzeit zugeschaltet werden. Erg\u00e4nzung:<\/strong> Gem\u00e4\u00df einem Leserkommentar wurden HP-Nutzer bereits im September 2017 vom Unternehmen \u00fcber ein Update des Synaptics-Treibers informiert – so richtig neu ist das Ganze also nicht.<\/p>\n

<\/p>\n

\"\"Es ist ein immer wiederkehrender Vorgang: Alle paar Wochen wird bei HP irgend etwas vorinstalliertes auf den Systemen gefunden, welches die Benutzer trackt oder tracken kann. Ich hatte da h\u00e4ufiger im Blog berichtet (siehe z.B. Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks<\/a>). Letzte Woche stand ich mit Blog-Leser Leon in Kontakt, wo es um die Frage von Telemetrie und Keyloggern ging. Er hat HP-Ger\u00e4te in Betrieb. Er wies mich auf einen neuen Fall<\/a> bei HP hin, erw\u00e4hnte aber, dass er auf seiner Maschine nichts finden konnte (danke an Leon f\u00fcr die Hinweise).<\/p>\n

Worum geht es genau?<\/h2>\n

Jemand mit dem Namen 'ZwClose on bytes' hat in diesem GitHub-Beitrag<\/a> die Entdeckung eines Keyloggers in einem Tastaturtreiber von HP bekannt gegeben. Diese Entdeckung ist mal wieder so etwas wie ein Zufallsfund. Jemand fragte bei der betreffenden Person nach, wie man die Tastatur mit Hintergrundbeleuchtung auf einem HP-Notebook kontrollieren k\u00f6nne. ZwClose bat um die Zusendung des Tastaturtreibers SynTP.sys<\/em>. Als er den Treiber in einem interaktiven Disassembler (IDA) analysierte, stie\u00df er sehr schnell auf eine Liste mit folgenden Eintr\u00e4gen.<\/p>\n

\"Eintr\u00e4ge<\/a>
\n(Quelle: GitHub, Zum Vergr\u00f6\u00dfern klicken)<\/p>\n

Der hervorgehobene String weckte das Interesse des Untersuchers, deutete dieser doch auf einen Format-String f\u00fcr einen Keylogger hin. Als er den Code disassemblierte, stie\u00df er sehr schnell auf den Keylogger, der \u00fcber eine KeyboardHookCallback-Funktion eingebunden wurde. Der Code macht sich eine von Microsoft bereitgestellte WPP-Trace-Funktion<\/a> f\u00fcr User-Mode-Anwendungen zunutze, um die Tastenanschl\u00e4ge auszuwerten.<\/p>\n

Keylogger war nicht aktiviert<\/h2>\n

Der Keylogger war aber nicht aktiviert, sondern pr\u00fcfte die folgenden Registrierungseintr\u00e4ge ab.<\/p>\n

HKLM\\Software\\Synaptics\\%ProductName%
\nHKLM\\Software\\Synaptics\\%ProductName%\\Default<\/p>\n

Als %ProductName% ist \"SynTP\" oder \"PointerPort\" gefordert und der Wert ist vom Typ DWORD. \u00dcber diesen Eintrag l\u00e4sst sich der Keylogger wohl aktivieren. Das Ganze riecht nach Synaptics. Die weiteren Details lassen sich hier nachlesen<\/a>.<\/p>\n

HP reagierte schnell<\/h2>\n

Da die betreffende Person keinen HP-Notebook hatte, versuchte er sich (f\u00fcr weitere Untersuchungen) so ein Ger\u00e4t zu leihen, kam aber nicht weiter. Also kontaktierte er die Firma HP. Er schreibt, dass HP erstaunlich schnell reagierte und die R\u00fcckmeldung gab, dass der Treiber in der Tat einen einschaltbare Keylogger beinhalten w\u00fcrde. Dieser war wohl f\u00fcr Debug-Zwecke im Code geblieben.<\/p>\n

Es ist zwar fast 30 Jahre her, seit sich mich mit Assembler-Programmierung befasste. Damals war es \u00fcblich, solchen Code \u00fcber Assembler-Directiven zu oder abzuschalten. Wurde dann die Software als fertig betrachtet, deaktivierte man die Directive und der Code wurde nicht mehr assembliert. Das scheint bei den Entwicklern in Asien nicht mehr common sense zu sein.<\/p><\/blockquote>\n

HP hat dann am 7. November 2017 diesen Artikel<\/a> als SECURITY BULLETIN ver\u00f6ffentlicht. Dort wird der Synaptics Touchpad Driver als Problem best\u00e4tigt. Auf der Seite findet sich die Liste der betroffenen HP-Notebooks (25*, mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook und ProBook-Serien, sowie diverse Compaq-Modelle). Gleichzeitig werden dort FTP-Links auf aktualisierte Treiber bereitgestellt, in denen dieser Keylogger entfernt wurde. Bleibt die abschlie\u00dfende Frage, ob jemand von Euch betroffen ist?<\/p>\n

PS: Zum Telemetriedatenprogramm HP Touchpoint Analytics Client (siehe Links zu weiteren Artikeln) erreichten mich (mehrfach) Informationen, dass auch Leute ohne HP-Rechner das Programm auf ihren Windows-Maschinen gefunden h\u00e4tten. Die Installation irgend einer HP-Software f\u00fcr Drucker reichte wohl.<\/p><\/blockquote>\n

Nachtrag: Problem war HP bekannt, Kunden waren informiert<\/h2>\n

Blog-Leser Dekre hat in den nachfolgenden Kommentaren darauf hingewiesen, dass dieser Vorfall HP bekannt war. Nach seinen Aussagen wurden HP-Kunden per Newsletter bereits im September 2017 dar\u00fcber informiert, dass Treiber Debug-Codes zur Tastaturprotokollierung enthalten und revidierte Treiber mit entferntem Code bereitstehen. Das Dokument wurde laut Dekre von HP nun auf November 2017 aktualisiert.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nHP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm<\/a>
\nFirmware-Update f\u00fcr HP-Drucker-Sicherheitsl\u00fccke verf\u00fcgbar<\/a>
\nWindows 10 V1709: KB4048955 killt HP 3D DriveGuard<\/a>
\nFix und Infos zum Microsoft\/HP-Patchday 3D Drive Guard-Bug<\/a>
\nTreiber-Update brickt HPE-Server-Netzwerkkarten<\/a>
\nHP Elite X3 Windows Phone: Nach 1 Jahr Edelschrott?<\/a>
\nMicrosoft liefert Details zum HP Black-Screen-Bug<\/a>
\nFix und Infos zum Microsoft\/HP-Patchday-Black-Screen-Bug<\/a>
\nFirmware-Update blockt erneut Fremdpatronen in HP Officejet<\/a>
\nSicherheitsl\u00fccke in HPE Integrated Lights-out 4 (iLO 4)<\/a>
\nDas HP-Audiotreiber Keylogger Placebo-Update<\/a>
\nStopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks<\/a>
\nAkku-R\u00fcckruf bei HP-Ger\u00e4ten wegen Brandgefahr<\/a>
\nPatzt HP bei Windows 10-OEM-Systemen? Kein Systemreparaturdatentr\u00e4ger erstellbar?<\/a>Firmware-Update: HP-Office Jets m\u00f6gen wieder Fremdtinte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Auf \u00fcber 460 HP Notebook-Modellen wurde mal wieder ein Keylogger in den Treibern von Synaptics gefunden. Der Keylogger war zwar dieses Mal deaktiviert, konnte aber durch einen Registry-Eintrag jederzeit zugeschaltet werden. Erg\u00e4nzung: Gem\u00e4\u00df einem Leserkommentar wurden HP-Nutzer bereits im September … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,301],"tags":[1032,6163,4340,4328,115],"class_list":["post-198501","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows","tag-hp","tag-keylogger","tag-notebook","tag-sicherheit","tag-treiber"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198501"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198501\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}