Technik
HPs Notebooks haben einen guten Ruf. Doch offenbar ist ein Bord-Treiber etwas zu auskunftsfreudig.
HPs Notebooks haben einen guten Ruf. Doch offenbar ist ein Bord-Treiber etwas zu auskunftsfreudig.(Foto: HP)
Donnerstag, 11. Mai 2017

Keylogger schon an Bord: HP-Notebooks lesen Passwörter mit

Auf einigen Notebooks von HP liest ein Keylogger alle Tastatureingaben mit und speichert sie in einer öffentlich lesbaren Logdatei. Abhilfe ist nicht in Sicht, betroffene Nutzer müssen vorerst selbst aktiv werden.

Die Business-Notebooks von HP haben gemeinhin einen guten Ruf. Doch Sicherheitsforscher stießen nun bei einer Überprüfung von mehreren HP-Modellen auf ein merkwürdiges Verhalten eines ab Werk installierten Treibers. Neben seiner eigentlichen Aufgabe schreibt er alle Tastatureingaben in eine unverschlüsselte Log-Datei. Angreifer, die bereits Zugang zum System haben, können aus dieser Datei Passwörter und andere Geheimnisse ganz bequem herauslesen.

Der betroffene Audio-Treiber stammt vom Hersteller Conexant, berichtet "Heise". MicTray64.exe ist demnach ab Werk auf den HP-Modellen der Reihen EliteBook, ProBook, Elite x2 und ZBook installiert. Er klinkt sich in die Windows-Tastatureingabefunktionen ein, um beim Druck auf Spezialtasten entsprechend reagieren zu können - zum Beispiel, um die Lautstärke zu ändern. Doch die Sicherheitsforscher der Schweizer Firma modzero haben herausgefunden, dass der Treiber im Hintergrund noch mit anderen Dingen beschäftigt ist und alle Tastencodes in eine öffentlich lesbare Datei schreibt. Ältere Treiberversionen schreiben die Tastencodes in eine Debug-Meldung. 

Ist der Keylogger ein Versehen?

Dieses Verhalten kennt man von sogenannten Keyloggern, die im Verborgenen die Tastatureingaben mitlesen, um zum Beispiel Passwörter zu erschnüffeln. Das Problem: Normalerweise müssten Angreifer auf dem PC ihres Opfers selbst einen Keylogger einschleusen, der möglicherweise Alarm auslösen könnte. Mit diesem bordeigenen Keylogger können sich die Bösewichte das aber sparen, schreibt Heise. Wenn sie bereits Zugriff aufs System haben, können sie demnach ganz bequem die Log-Datei auslesen und machen sich dabei selbst nicht verdächtig.

Die Log-Datei wird nur dann überschrieben, wenn sich ein Nutzer neu anmeldet, zum Beispiel nach einem Neustart. Solange der Rechner nicht richtig ausgeschaltet wird, werden alle Tastatureingaben in derselben Datei gespeichert - eine Fundgrube für Angreifer.

Offenbar existiert diese Sicherheitslücke schon länger. Sicherheitsexperte Thorsten Schröder von modzero habe das Keylogging in Treibern entdeckt, die 2015 erstellt wurden. Es handele sich dabei vermutlich um eine Diagnose- oder Debug-Funktion des Herstellers, die vergessen wurde und nicht um eine bösartig eingebaute Hintertür, schreiben die Forscher. Mit Conexant und HP habe Schröder Kontakt aufgenommen, bisher aber keine Antwort erhalten. Deshalb veröffentlicht er nun selbstständig Sicherheitshinweise dazu.

Ob Nutzer betroffen sind, können sie herausfinden, indem sie nach der Log-Datei C:\Users\Public\MicTray.log suchen oder das Tool DebugView der SysInternals-Suite nutzen. Zum Selbstschutz kann man außerdem die Logdatei sowie die Treiberdatei MicTray64.exe (C:\Windows\System32\MicTray64.exe oder C:\Windows\System32\MicTray.exe) entfernen oder umbenennen - allerdings funktionieren dann manche Spezialtasten, sogenannte Hotkeys, nicht mehr.

[Update] HP hat eine Stellungnahme verschickt: HP ist der Sicherheit und dem Schutz der Privatsphäre seiner Kunden verpflichtet. Der Sachverhalt rund um den Keylogger auf einigen HP PCs ist uns bekannt. HP hat aufgrund dieses Themas keinerlei Zugang zu Kundendaten. Unser Lieferant hat eine Software entwickelt, um die Audio-Funktionalität vor der Auslieferung der Produkte zu testen. Diese Software hätte nicht in der final an die Kunden ausgelieferten Version enthalten sein dürfen. Eine Lösung zur Behebung wird kurzfristig auf der HP Webseite hp.com verfügbar sein.

Quelle: n-tv.de

Empfehlungen