圖片來源: 

Modzero

筆電再現隱私威脅!安全研究Modzero發現HP電腦的音效卡內藏鍵盤側錄程式,可錄下用戶所有按鍵動作,導致密碼等機密資訊遭竊取。

問題出在HP電腦中由美國IC設計業者科勝訊(Conexant)所生產的音效晶片驅動程式。驅動程式內含的可執行檔MicTray64.exe原本的功能是在用戶執行特定按鍵動作,例如啟動、關閉麥克風及錄音時做出回應。這個程式可能是專為HP電腦特製。

然研究人員發現,這個執行檔多了個診斷與除錯功能,會將用戶所有按鍵動作都回傳到一個除錯介面,或寫入電腦硬碟中的一個log檔,使得這個音效驅動程式變成了鍵盤側錄程式。

研究人員從檔案的metadata發現,該側錄程式最少從2015年聖誕節期間就已存在於HP筆電上。

出問題的驅動程式為1.0.0.31,到了最近的1.0.0.46則將所有按鍵動作都寫入所有人都可存取的C:\Users\Public\MicTray.log中。研究人員指出,雖然該檔案在每次重開機都會被覆寫掉,但是市面上的鑑識工具可以輕易將按鍵動作回復。

研究人員認為這可能是開發人員的疏忽,而非出於惡意目的。但由於Modzero發現此事通報HP後,HP和科勝訊都沒有回應,只有HP Enterprise表示拒絕負責,促使研究人員決定公開此事。

研究人員並呼籲所有HP電腦用戶都應立即檢查電腦中是否安裝了C:\Windows\System32\MicTray64.exe 或C:\Windows\System32\MicTray.exe,如果有的話應立刻刪除或重新命名,讓它無法再錄下鍵盤動作,但是這麼做也會損壞特定鍵盤動作的音效。如果硬碟中有C:\Users\Public\MicTray.log,研究人員建議也應立即刪除,因為其中內含登入資訊及密碼等機密內容。

這並非首次知名品牌電腦安裝可疑程式而引發矚目。2015年初筆記型電腦大廠聯想(Lenovo)被發現部分消費型筆記型電腦預載第三方廣告軟體SuperFish,不僅會變更搜尋結果、插入廣告、綁架合 法SSL/TLS連線、造成中間人攻擊,還造成用戶資料外洩,引發抨擊,迫使聯想最後道歉。

安全廠商列出受影響的HP機種,包括HP EliteBook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。研究人員警告,使用Conexant硬體和驅動程式的其他品牌電腦也可能受到影響。


Advertisement

更多 iThome相關內容