Cerca nel blog

2017/05/12

Molti laptop HP contengono un keylogger che registra ogni digitazione. Ce l’ha messo HP

Credit: @jarwidmark.
Ultimo aggiornamento: 2017/05/12 15:45.

Numerosi modelli di computer portatili venduti da HP registrano di nascosto tutto quello che digitate, comprese le password, consentendo a un malintenzionato di recuperarle facilmente. Non è colpa di un malware installato da chissà chi: il registratore di digitazioni, o keylogger in gergo tecnico, è preinstallato direttamente da HP.

La bizzarra scoperta è opera di una società svizzera di sicurezza informatica, chiamata modzero, che l'ha segnalata pubblicamente in questo articolo e in questa nota tecnica.

Il registratore è integrato in un driver audio della Conexant, specificamente in un file chiamato MicTray64.exe, che intercetta tutte le digitazioni e le registra in un file sul disco rigido del computer presso C:\Users\Public\MicTray.log. Non si sa perché esista questa funzione di registrazione non dichiarata.

Il file MicTray.log può essere letto da qualunque applicazione, per cui un malware che infettasse uno di questi laptop potrebbe leggerselo per rubare tutte le password e tutto quello che viene scritto senza fare nulla che possa allarmare l’antivirus. Allo stesso modo, se un computer viene usato da più di una persona, un utente può sbirciare facilmente tutto quello che è stato scritto dagli altri.

L'unica attenuante è che il file viene azzerato a ogni riavvio, per cui è abbastanza difficile recuperare digitazioni e password del passato (ma in teoria lo si potrebbe fare attingendo a qualche backup).

Secondo modzero, sia HP sia Conexant sono state avvisate a fine aprile ma non hanno risposto costruttivamente e quindi per ora chi ha un computer dotato di questo grave difetto può risolverlo provvisoriamente cancellando il file C:\Windows\System32\MicTray64.exe e l'archivio delle digitazioni presso C:\Users\Public\MicTray.log.

L'elenco parziale dei modelli HP colpiti è qui, ma il problema potrebbe riguardare anche altre marche che usano i driver Conexant.


2017/05/12 15:45. HP ha rilasciato una dichiarazione in proposito, che riporto qui sotto, e il Telegraph segnala che HP ha messo a disposizione tramite Windows Update un aggiornamento che corregge il problema per i modelli del 2016. La correzione per i modelli del 2015 dovrebbe arrivare a breve.

HP is committed to the security and privacy of its customers and we are aware of the keylogger issue on select HP PCs. HP has no access to customer data as a result of this issue. Our supplier partner developed software to test audio functionality prior to product launch and it should not have been included in the final shipped version. Fixes will be available shortly via HP.com


Ancora una volta, purtroppo, è stato necessario rivelare pubblicamente un problema informatico perché contattare privatamente l’azienda responsabile non è servito a nulla.

15 commenti:

Massimiliano Arione ha detto...

La soluzione migliore (che risolve anche altri problemi) è rimuovere il sistema operativo preinstallato, installandone un altro.

AmiC ha detto...

Dal tuo link: "The program monitors all keystrokes made by the user to
capture and react to functions such as microphone mute/unmute
keys/hotkeys."

Appena arrivo a casa controllo, perchè ovviamente ho un HP...

Nobile ha detto...

Considerando che su Win 7/10 oggi si riavvia sempre meno, preferendo l'ibernazione o lo standby, soprattutto sui laptop, quel log può contenere una storia mooolto lunga.

Dumdumderum ha detto...

D'accordo con Massimiliano. Su qualunque PC, di lavoro o personale, la mia regola base è ranzare via il sistema OEM di cui è dotato e installarne uno diverso. Gli OEM ne hanno sempre una quando non ne hanno molte di più, e chissà quante altre "porte sul retro" hanno lasciato, per esempio, sui laptop HP che non sono ancora state scoperte. Di trovare "porte sul retro" m'è capitato anche con Lenovo e con Dell; comunque, il sistema OEM svanisce a volte ancora prima del primo avvio.

Gero Dot Net ha detto...

Si però se poi il keylogger li mettono nel pacchetto del driver il problema rimane. "...Conexant's MicTray64.exe is installed with the Conexant audio driver package..."

Mars4ever ha detto...

Se avessi letto da una fonte meno attendibile che questi facevano un file del genere in C:\Users\Public\ , avrei pensato a uno scherzo! Da quando i log si mettono lì?

> Considerando che su Win 7/10 oggi si riavvia sempre meno, preferendo l'ibernazione o lo standby

In realtà è l'esatto contrario perché l'ibernazione diventa sempre meno necessaria con la velocità di avvio del sistema dagli SSD, e viene suggerito di toglierla del tutto per risparmiare qualche GB senza l'inutile file hyberfil.sys

Darshan ha detto...

>>La soluzione migliore (che risolve anche altri problemi) è rimuovere il sistema operativo preinstallato, installandone un altro.

Se non fosse che nei portatili l'avere i driver configurati bene da un discreto vantaggio.

( Diciamo che la mia attuale posizione contro HP è più radicale ed è meglio non dirla in pubblico :P )

Roberto Mariottini ha detto...

Per evitare il problema basta rendere il file di sola lettura, nel seguente modo:
* Da gestione attività terminare MicTray64.exe
* Aprire il file MicTray.log col blocco note
* Cancellare tutto, salvare e chiudere il blocco note
* Col tasto destro aprire le proprietà del file MicTray.log
* Selezionare la casella "sola lettura" e premere OK

IlTester ha detto...

Non si sa perché esista questa funzione di registrazione non dichiarata.
Sono abbastanza sicuro che esiste perché qualcuno alla Conexant si è dimenticato di cambiare la build mode da "debug" a "release"...

Max Slo ha detto...

Sono d'accordo sulla reinstallazione, tanto è vero che ormai acquisto solo fissi (da gaming :P ) senza SO.
Non vedo problemi coi driver in caso di portatili, basta... prenderli e installarli!

(((A proposito, qualcuno lavora nel campo e vende PC?)))

newbrain ha detto...

Ovviamente al lavoro abbiamo molti di quei modelli.
Nessuno dei miei colleghi ha trovato il log (io non ho un modello coinvolto), ma il processo gira, e questo non è bene (vedi sotto).

@Roberto Mariottini
Sì e no, visto che il driver in questione mette a disposizione una API per leggere i tasti.
Questa è sfruttabile da un qualunque processo, senza allertare antivirus o antimalware.
Praticamente un server per keylogging autorizzato!
Certo, più complicato di leggere un file di testo, ma se il gioco vale candela...

@IlTester
Mi hai tolto le parole di bocca, a me e a Hanlon...

pella78 ha detto...

Visto che in azienda ne ho "svariati" ( di quei laptop, ho provato ad indagare un pò prendendone 3 a campione. Uno non ha proprio quel file, due ce l'hanno ma ha 0kb (ed è vuoto). Voi avete provato sui vostri?

CPaolo1979 ha detto...

Ho comprato un laptop HO A mia madre a fine 2016: per fortuna ho subito installato Linux. Pericolo scampato

rico ha detto...

Dopo Superfish (spyware negli hard disk di Lenovo) ora anche HP col suo bravo keylogger.
Ma queste aziende fanno un controllo qualità?
Nelle automobili, Toyota è prima nel mondo grazie proprio a questo (e ai feedback degli utenti), HP e Lenovo pensano che i loro dipendenti siano solo scimmie addestrate?
Sono esseri umani con un cervello e capacità.
Se non vengono motivati a lavorare per la "ditta", faranno meglio (o peggio) di voi, a vostra insaputa.
Sveglia, executive.

newbrain ha detto...

@rico
Toyota e la qualità del codice?
I'll just leave this here...

(non che questo giustifichi HP, o Lenovo)