研究：HP電腦內藏鍵盤側錄程式

筆電再現隱私威脅！安全研究Modzero發現HP電腦的音效卡內藏鍵盤側錄程式，可錄下用戶所有按鍵動作，導致密碼等機密資訊遭竊取。

問題出在HP電腦中由美國IC設計業者科勝訊（Conexant）所生產的音效晶片驅動程式。驅動程式內含的可執行檔MicTray64.exe原本的功能是在用戶執行特定按鍵動作，例如啟動、關閉麥克風及錄音時做出回應。這個程式可能是專為HP電腦特製。

然研究人員發現，這個執行檔多了個診斷與除錯功能，會將用戶所有按鍵動作都回傳到一個除錯介面，或寫入電腦硬碟中的一個log檔，使得這個音效驅動程式變成了鍵盤側錄程式。

研究人員從檔案的metadata發現，該側錄程式最少從2015年聖誕節期間就已存在於HP筆電上。

出問題的驅動程式為1.0.0.31，到了最近的1.0.0.46則將所有按鍵動作都寫入所有人都可存取的C:\Users\Public\MicTray.log中。研究人員指出，雖然該檔案在每次重開機都會被覆寫掉，但是市面上的鑑識工具可以輕易將按鍵動作回復。

研究人員認為這可能是開發人員的疏忽，而非出於惡意目的。但由於Modzero發現此事通報HP後，HP和科勝訊都沒有回應，只有HP Enterprise表示拒絕負責，促使研究人員決定公開此事。

研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe，如果有的話應立刻刪除或重新命名，讓它無法再錄下鍵盤動作，但是這麼做也會損壞特定鍵盤動作的音效。如果硬碟中有C:\Users\Public\MicTray.log，研究人員建議也應立即刪除，因為其中內含登入資訊及密碼等機密內容。

這並非首次知名品牌電腦安裝可疑程式而引發矚目。2015年初筆記型電腦大廠聯想（Lenovo）被發現部分消費型筆記型電腦預載第三方廣告軟體SuperFish，不僅會變更搜尋結果、插入廣告、綁架合 法SSL/TLS連線、造成中間人攻擊，還造成用戶資料外洩，引發抨擊，迫使聯想最後道歉。

安全廠商列出受影響的HP機種，包括HP EliteBook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。研究人員警告，使用Conexant硬體和驅動程式的其他品牌電腦也可能受到影響。