skip to main | skip to sidebar
15 commenti

Molti laptop HP contengono un keylogger che registra ogni digitazione. Ce l’ha messo HP

Credit: @jarwidmark.
Ultimo aggiornamento: 2017/05/12 15:45.

Numerosi modelli di computer portatili venduti da HP registrano di nascosto tutto quello che digitate, comprese le password, consentendo a un malintenzionato di recuperarle facilmente. Non è colpa di un malware installato da chissà chi: il registratore di digitazioni, o keylogger in gergo tecnico, è preinstallato direttamente da HP.

La bizzarra scoperta è opera di una società svizzera di sicurezza informatica, chiamata modzero, che l'ha segnalata pubblicamente in questo articolo e in questa nota tecnica.

Il registratore è integrato in un driver audio della Conexant, specificamente in un file chiamato MicTray64.exe, che intercetta tutte le digitazioni e le registra in un file sul disco rigido del computer presso C:\Users\Public\MicTray.log. Non si sa perché esista questa funzione di registrazione non dichiarata.

Il file MicTray.log può essere letto da qualunque applicazione, per cui un malware che infettasse uno di questi laptop potrebbe leggerselo per rubare tutte le password e tutto quello che viene scritto senza fare nulla che possa allarmare l’antivirus. Allo stesso modo, se un computer viene usato da più di una persona, un utente può sbirciare facilmente tutto quello che è stato scritto dagli altri.

L'unica attenuante è che il file viene azzerato a ogni riavvio, per cui è abbastanza difficile recuperare digitazioni e password del passato (ma in teoria lo si potrebbe fare attingendo a qualche backup).

Secondo modzero, sia HP sia Conexant sono state avvisate a fine aprile ma non hanno risposto costruttivamente e quindi per ora chi ha un computer dotato di questo grave difetto può risolverlo provvisoriamente cancellando il file C:\Windows\System32\MicTray64.exe e l'archivio delle digitazioni presso C:\Users\Public\MicTray.log.

L'elenco parziale dei modelli HP colpiti è qui, ma il problema potrebbe riguardare anche altre marche che usano i driver Conexant.


2017/05/12 15:45. HP ha rilasciato una dichiarazione in proposito, che riporto qui sotto, e il Telegraph segnala che HP ha messo a disposizione tramite Windows Update un aggiornamento che corregge il problema per i modelli del 2016. La correzione per i modelli del 2015 dovrebbe arrivare a breve.

HP is committed to the security and privacy of its customers and we are aware of the keylogger issue on select HP PCs. HP has no access to customer data as a result of this issue. Our supplier partner developed software to test audio functionality prior to product launch and it should not have been included in the final shipped version. Fixes will be available shortly via HP.com


Ancora una volta, purtroppo, è stato necessario rivelare pubblicamente un problema informatico perché contattare privatamente l’azienda responsabile non è servito a nulla.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (15)
La soluzione migliore (che risolve anche altri problemi) è rimuovere il sistema operativo preinstallato, installandone un altro.
Dal tuo link: "The program monitors all keystrokes made by the user to
capture and react to functions such as microphone mute/unmute
keys/hotkeys."

Appena arrivo a casa controllo, perchè ovviamente ho un HP...
Considerando che su Win 7/10 oggi si riavvia sempre meno, preferendo l'ibernazione o lo standby, soprattutto sui laptop, quel log può contenere una storia mooolto lunga.
D'accordo con Massimiliano. Su qualunque PC, di lavoro o personale, la mia regola base è ranzare via il sistema OEM di cui è dotato e installarne uno diverso. Gli OEM ne hanno sempre una quando non ne hanno molte di più, e chissà quante altre "porte sul retro" hanno lasciato, per esempio, sui laptop HP che non sono ancora state scoperte. Di trovare "porte sul retro" m'è capitato anche con Lenovo e con Dell; comunque, il sistema OEM svanisce a volte ancora prima del primo avvio.
Si però se poi il keylogger li mettono nel pacchetto del driver il problema rimane. "...Conexant's MicTray64.exe is installed with the Conexant audio driver package..."
Se avessi letto da una fonte meno attendibile che questi facevano un file del genere in C:\Users\Public\ , avrei pensato a uno scherzo! Da quando i log si mettono lì?

> Considerando che su Win 7/10 oggi si riavvia sempre meno, preferendo l'ibernazione o lo standby

In realtà è l'esatto contrario perché l'ibernazione diventa sempre meno necessaria con la velocità di avvio del sistema dagli SSD, e viene suggerito di toglierla del tutto per risparmiare qualche GB senza l'inutile file hyberfil.sys
>>La soluzione migliore (che risolve anche altri problemi) è rimuovere il sistema operativo preinstallato, installandone un altro.

Se non fosse che nei portatili l'avere i driver configurati bene da un discreto vantaggio.

( Diciamo che la mia attuale posizione contro HP è più radicale ed è meglio non dirla in pubblico :P )
Per evitare il problema basta rendere il file di sola lettura, nel seguente modo:
* Da gestione attività terminare MicTray64.exe
* Aprire il file MicTray.log col blocco note
* Cancellare tutto, salvare e chiudere il blocco note
* Col tasto destro aprire le proprietà del file MicTray.log
* Selezionare la casella "sola lettura" e premere OK
Non si sa perché esista questa funzione di registrazione non dichiarata.
Sono abbastanza sicuro che esiste perché qualcuno alla Conexant si è dimenticato di cambiare la build mode da "debug" a "release"...
Sono d'accordo sulla reinstallazione, tanto è vero che ormai acquisto solo fissi (da gaming :P ) senza SO.
Non vedo problemi coi driver in caso di portatili, basta... prenderli e installarli!

(((A proposito, qualcuno lavora nel campo e vende PC?)))
Ovviamente al lavoro abbiamo molti di quei modelli.
Nessuno dei miei colleghi ha trovato il log (io non ho un modello coinvolto), ma il processo gira, e questo non è bene (vedi sotto).

@Roberto Mariottini
Sì e no, visto che il driver in questione mette a disposizione una API per leggere i tasti.
Questa è sfruttabile da un qualunque processo, senza allertare antivirus o antimalware.
Praticamente un server per keylogging autorizzato!
Certo, più complicato di leggere un file di testo, ma se il gioco vale candela...

@IlTester
Mi hai tolto le parole di bocca, a me e a Hanlon...
Visto che in azienda ne ho "svariati" ( di quei laptop, ho provato ad indagare un pò prendendone 3 a campione. Uno non ha proprio quel file, due ce l'hanno ma ha 0kb (ed è vuoto). Voi avete provato sui vostri?
Ho comprato un laptop HO A mia madre a fine 2016: per fortuna ho subito installato Linux. Pericolo scampato
Dopo Superfish (spyware negli hard disk di Lenovo) ora anche HP col suo bravo keylogger.
Ma queste aziende fanno un controllo qualità?
Nelle automobili, Toyota è prima nel mondo grazie proprio a questo (e ai feedback degli utenti), HP e Lenovo pensano che i loro dipendenti siano solo scimmie addestrate?
Sono esseri umani con un cervello e capacità.
Se non vengono motivati a lavorare per la "ditta", faranno meglio (o peggio) di voi, a vostra insaputa.
Sveglia, executive.
@rico
Toyota e la qualità del codice?
I'll just leave this here...

(non che questo giustifichi HP, o Lenovo)