惠普筆記本被政府蓋章存隱藏鍵盤記錄器，怎麼回事？

雷鋒網宅客頻道招人了！我們需要若干對網路安全、雲有興趣，具有探索精神，對黑客與白帽子文化有一定了解的作者（官方職位是編輯）加入「宅客頻道」報道團隊。如果你有一定文字功底，文風活潑就更好了！工作地點：北京。我們將提供給你的是：與各大安全公司、各路黑客大牛親密接觸的機會+與你的工作相匹配的薪水。簡歷投遞至：[email protected]。歡迎關注公眾號「宅客頻道」。

宅客頻道消息，近日，一則網路安全和信息化領導小組發布安全信息通報流出，該通告稱，惠普電腦存在隱藏鍵盤記錄器的安全問題：

近期，惠普電腦音頻驅動被發現存在隱藏鍵盤記錄器。該按鍵記錄器監控用戶所有的按鍵記錄，並明文存儲至文本文件或者以調試信息發送，其他用戶或第三方應用程序均有可能複製按鍵記錄文件並查看用戶所有的按鍵記錄，提取到敏感信息如用戶名、密碼等。

從圖中可以看出，該通告早在6月就已發布，而惠普計算機的安全漏洞更是在5月就被外媒揭露，只是近日才引起國內的關注。

根據新浪的報道，今年5月，來自瑞士安全公司Modzero的研究人員在檢查Windows Active Domain的基礎設施時發現惠普音頻驅動中存在一個內置鍵盤記錄器，可以監控用戶的所有按鍵輸入。

據悉，按鍵記錄器會通過監控用戶所按下的鍵來記錄所有的按鍵。惡意軟體和木馬通常會使用這種功能來竊取用戶賬戶信息、信用卡號、密碼等私人信息。

Modzero在報告指出，惠普計算機的缺陷代碼就隱藏在集成電路廠商Conexant（科勝訊）開發的音頻驅動中。以下是360的分析報告：

科勝訊的MicTray64.exe與Conexant音頻驅動程序包同時安裝，並且會註冊為一個Microsoft計劃任務，以便在每一個用戶登陸后運行。該程序記錄用戶鍵盤輸入的所有信息，以捕獲和響應麥克風靜音/取消靜音/快捷鍵等功能。鍵盤記錄功能主要是通過調用SetwindowsHookEx實現一個底層鍵盤輸入信息hook函數。除了處理快捷鍵/功能鍵的點擊事件外，所有的鍵盤輸入信息都會被寫入所有用戶許可權都可讀的路徑中的日誌文件（C:\Users\Public\MicTray.log）中。

如果日誌文件不存在或Windows註冊表中的信息不可用，所有的鍵盤輸入信息都會傳遞給OutputDebugString API，這使得當前用戶上下文中的任何進程都可以捕捉鍵盤輸入信息，而不會表露出任何惡意行為。

任何可以調用MapViewOfFile API的框架或者進程都能夠通過用戶的鍵盤輸入信息靜默的收集敏感數據。在1.0.0.31版本中，後門僅僅使用OutputDebugString傳遞用戶鍵盤輸入的信息，而沒有將這些信息寫入文件中。

該漏洞導致了一個非常高的風險，用戶輸入的敏感信息或者操作都有可能被泄露。這些信息會被記錄在C:\Users\Public\MicTray.log中，或者通過調用MapViewOfFile函數讀取。

據調查，2015年，這個按鍵記錄功能以新的診斷功能身份在惠普音頻驅動版本1.0.0.46中推出，受影響的機型包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。

惠普回應稱，已經對這一缺陷進行了調查，「音效卡驅動程序中部分調試代碼被錯誤地保留下來，這是一個意外。這些代碼的目的是幫助我們調試、解決驅動程序出現的問題。Conexant應當發現並修正這一問題，我們希望未來不會再出現類似問題。」

根據惠普官網發布的安全公告，惠普筆記本用戶可以查看自己是否中招。此外，惠普還發布了新版驅動程序，修正了這一缺陷，中招的用戶可以從惠普下載、安裝更新后的驅動程序。

註：惠普公告地址https://support.hp.com/cn-zh/document/c05520390?jumpid=reg_r1002_cnzh_c-001_title_r0027

戳藍字查看更多精彩內容

探索篇

▼

真相篇

▼

人物篇

更多精彩正在整理中……

---

「喜歡就趕緊關注我們」

宅客『Letshome』

雷鋒網旗下業界報道公眾號。

專註先鋒科技領域，講述黑客背後的故事。

並識別關注