Что-то непонятное в последнее время твориться с компанией HP. Буквально неделю назад мы писали об удалении телеметрии в компьютерах HP, вот снова сюрприз от Hewlet Packard. На этот раз кейлоггер в драйверах Synaptics Touchpad в файле SynTP.sys, которые поставляются с некоторыми ноутбуками HP.
Кейлоггер в HP
Проблема была обнаружена специалистом информационной безопасности Michael Myng (ZwClose). По его словам кейлоггер сохраняющий нажатия клавиш по умолчанию отключен, но его можно активировать, внеся изменения в значения реестра.
Речь идет о модификации значения ключа реестра:
HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\DefaultС его помощью хакеры или какие-нибудь другие заинтересованные лица могут активировать функцию регистрации нажатия клавиш и следить за пользователем, используя родные драйвера компьютера и оставаясь незамеченными антивирусными программами.
Нужно лишь обойти UAC при модифицировании ключа реестра. А как вы знаете обход UAC дело несложное. На сегодняшний день существуют десятки способов обхода контроля учетных записей пользователя.
После сообщения об уязвимости разработчики HP признали наличие кода кейлоггера в драйверах и выпустили обновление.
HP выпустила список затронутых ноутбуков. Бюллетень также включает ссылки на обновления прошивки и список из 475 моделей подверженных уязвимости.
Затронутые линейки моделей включают серии:
- HP 25 *
- HP mt **
- HP 15 *
- OMEN
- ENVY
- Pavilion
- Stream
- ZBook
- EliteBook
- ProBook
- Некоторые модели Compaq
ZwClose также опубликовал технический анализ файла SynTP.sys и кода кейлоггера для ИБ-специалистов и разработчиков программного обеспечения.
Это не первый случай, когда инженеры HP забыли код отладки внутри драйвера. То же самое произошло в мае, когда они оставили аналогичный код кейлоггера внутри звукового драйвера.
Наверное у многих напрашивается вопрос: «Это преднамеренно или нет?» Я думаю — нет. Закладки делают более профессионально, у них же там не двоечники работают. А вот телеметрия в HP (ссылка в начале статьи) — это умышленно. Хотя после слежки Windows и телеметрии Nvidia нас уже ничем не удивить.