Vorinstallierter Audio-Treiber
12.05.2017, 12:13 Uhr
Keylogger belauscht Nutzer von HP-Notebooks
Schweizer Sicherheitsforscher haben einen Keylogger in zahlreichen HP-Notebooks als Vorinstallation entdeckt. Über den Audio-Treiber Mactray64.exe werden unter anderem Passwörter protokolliert.
Die in der Schweiz ansässige IT-Sicherheitsfirma modzero hat einen Keylogger in HP-Notebooks entdeckt. Ein Keylogger ist eine Software, die Tasteneingabe auf einem Computer protokolliert und über das Internet an den Urheber des Programms versendet. Hacker nutzen diese Tools etwa, um Passwörter oder Banking-Daten zu ergaunern.
Im Falle der HP-Business-Notebooks Elitebook, Probook, Elite x2 und ZBook ist für den Keylogger nicht etwa ein Hacker verantwortlich, sondern wohl der Hersteller selbst. Wie modzero herausgefunden haben will, schreibt der Audio-Treiber Mactray64.exe, der ab Werk vorinstalliert ist, sämtliche Tastenanschläge automatisch mit. Davon natürlich auch nicht ausgenommen sind Passwörter und andere vertrauliche Login-Eingaben.
Forscher gehen von Versehen aus
Die Forscher vermuten allerdings, dass HP seine Kunden nicht mutwillig bespitzelt, sondern, dass es sich um eine vergessene Debug-Funktion des Audio-Chip Hersteller Conexant handelt. HP bietet die Software zwar als Vorinstallation beziehungsweise auf seiner Website als Treiberpaket zum Download an, programmiert und digital signiert wird diese allerdings von Conexant.
Conexant entwickelt für seine Audio-Chips auch Treiber, damit das Betriebssystem mit der Hardware kommunizieren kann. So gibt es für viele Computer spezielle Tasten oder Tastenkombinatinen, die etwa das Mikrofon auf stumm schalten oder eine Audio-Aufnahme starten. Bei HP reagiert die dafür verantwortliche Software jedoch nicht nur auf diese Sondertasten, sondern sämtliche Keyboard-Eingaben werden entweder über eine Debugging-Schnittstelle ausgelesen oder in einer Log-Datei in einem öffentlichen Verzeichnis des PCs geschrieben.
Die Sicherheitsexperten raten allen HP-Computer-Nutzern deshalb dringend dazu, zu überprüfen, ob das Programm unter C:\Windows\System32\MicTray64.exe oder C:\Windows\System32\MicTray.exe installiert ist. Ist dies der Fall, sollte dieses umgehend gelöscht oder umbenannt werden, um die weitere Aufzeichnung der Tastenanschläge zu unterbinden. Ein Nachteil hierbei ist allerdings, dass dann entsprechende Sonderfunktions-Tasten wie etwa das Muten ebenfalls nicht mehr funktionieren.
Ausserdem sollte der Nutzer überprüfen, ob die Datei C:\Users\Public\MicTray.log auf seinem PC existiert. Auch diese gelte es dringend zu löschen. Die Datei enthalte nämlich in der Regel das Protokoll der Tastenanschläge, also auch sensible Informationen in Reinschrift.
Inzwischen hat auch HP laut ZDNet reagiert und einen entsprechenden Patch zur Verfügung gestellt. Mit dem Update wird nicht nur der Keylogger entfernt, sondern auch gleich die zugehörige Log-Datei gelöscht. Die Verteilung der Aktualisierung erfolgt über ein Windows-Update.