Независимый ИБ-специалист Майкл Минг (Michael Myng) сообщил, что обнаружил странную функциональность в файле SynTP.sys, который является частью драйвера Synaptics Touchpad, использующегося во многих моделях ноутбуков компании HP.

Минг уже опубликовал подробный технический отчет, в котором объяснил, что функциональность, фиксирующая все нажатия клавиш, по умолчанию отключена, однако для ее включения понадобится лишь внести небольшие изменения в реестр.

Исследователь пишет, что этим встроенным в ноутбуки HP кейлоггером могут воспользоваться злоумышленники. Активировав это «штатное средство слежения», преступники получат немалое преимущество, ведь такой кейлоггер не вызовет никаких подозрений у антивирусных продуктов. По сути, хакерам понадобится только обойти UAC и внести коррективы в реестр (напомню, что способов обхода UAC насчитывается более десятка).

После того как специалист сообщил разработчикам HP о своей «находке», те признали, что данная функциональность была забыта в коде случайно, и исходно она предназначалась для отладки и тестирования.

На сайте HP можно найти список моделей ноутбуков, уязвимых перед данной проблемой. Как оказалось, «спящий» кейлоггер был представлен более чем в 450 устройствах, из которых 303 модели – это обычные потребительские лэптопы, а еще 172 модели ориентированы на коммерческий рынок. В списке числятся устройства из линеек mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook, а также серии ProBook и Compaq.

Инженеры HP уже опубликовали патчи, удаляющие кейлоггер из кода, так что пользователям уязвимых ноутбуков рекомендуется обновиться.

Напомню, что это не первый случай, когда в устройствах HP обнаруживают шпионскую функциональность. Так, весной 2017 года, кейлоггер был найден в составе Conexant HD Audio Driver Package. Как оказалось, аудиодрайвер «запоминает» все нажатия клавиш и сохраняет информацию в локальный файл, доступный любому желающему.



6 комментариев

  1. john_

    11.12.2017 at 12:43

    Вот так и покупай ноуты с предустановленным софтом))

  2. hirukami

    11.12.2017 at 14:37

    Я так понимаю данная уязвимость затрагивает только windows? То если ты на линуксе работаешь, данная уязвимость не представляет из себя угрозы, я правильно понимаю?

  3. fabien

    11.12.2017 at 15:57

    john_
    >Вот так и покупай ноуты с предустановленным софтом))
    Так как здесь самописный драйвер, то врядли подойдет какой-нибудь из состава Windows. И нужно пользоваться этим.

    hirukami
    >Я так понимаю данная уязвимость затрагивает только windows? То если ты на линуксе работаешь, данная уязвимость не представляет из себя угрозы, я правильно понимаю?
    Если используешь драйвер из состава ядра или из репозитория твоего дистрибутива, то порядок. Если проприетарный от производителя, то никто не знает.

    • lich

      12.12.2017 at 12:55

      > самописный драйвер
      Да ну, скорее всего это немножко измененный стандартный драйвер синаптика, раз уж речь идет про SynTP.sys. Скорее всего стандартный тоже будет работать.

  4. Themistocles

    21.12.2017 at 17:34

    Панику то развели. Ну подумаешь кейлоггер.

  5. mascha227

    28.12.2017 at 15:26

Оставить мнение