HP envía accidentalmente el controlador de audio del portátil con el registrador de teclas instalado

449809-cifrado-de-piratería-de-seguridad-genérico

En los últimos años, hemos visto algunos problemas de seguridad de alto perfil con las computadoras portátiles de Lenovo, Samsungy Dell. HP, hasta ahora, había logrado escapar de cualquier problema grave. Según la empresa suiza de seguridad de información ModZero, eso ha cambiado, gracias a un registrador de teclas integrado (probablemente accidentalmente) en ciertos controladores de audio utilizados en las computadoras portátiles HP.

HP usa chips de audio Conexant para algunas de sus computadoras portátiles, lo que significa que también envía el software y los controladores incluidos de Conexant. Así es como ModZero describe el problema:

Conexant también desarrolla controladores para sus chips de audio, de modo que el sistema operativo pueda comunicarse con el hardware. Aparentemente, hay algunas partes para el control del hardware de audio, que son muy específicas y dependen del modelo de computadora, por ejemplo, teclas especiales para encender o apagar un micrófono o controlar el LED de grabación en la computadora. En este código, que parece estar adaptado a las computadoras HP, hay una parte que intercepta y procesa todas las entradas del teclado.



En realidad, el propósito del software es reconocer si se presionó o soltó una tecla especial. En cambio, sin embargo, el desarrollador ha introducido una serie de funciones de diagnóstico y depuración para garantizar que todas las pulsaciones de teclas se transmitan a través de una interfaz de depuración o se escriban en un archivo de registro en un directorio público del disco duro.

Este tipo de depuración convierte el controlador de audio de manera efectiva en un software espía de registro de teclas. Sobre la base de la metainformación de los archivos, este keylogger ya existe en las computadoras HP desde al menos la Navidad de 2015.

El keylogger es creado por fallas en la aplicación MicTray64.exe de Conexant. Está diseñado para monitorear las pulsaciones de teclas y responder a la entrada del usuario, probablemente para responder a comandos para silenciar o reactivar el micrófono, o comenzar a capturar información dentro de una aplicación. Desafortunadamente, también escribe todos los datos de pulsaciones de teclas en un archivo de acceso público ubicado en C: Users Public MicTray.log. En caso de que este archivo de registro no exista, las pulsaciones de teclas se pasan a la API OutputDebugString, lo que permite que cualquier proceso capture esta información sin ser identificado como un programa malicioso.

Conexant

Conexant no incluye 'Registrador de teclas sorpresa' como ninguna de sus funciones.

Este comportamiento parece haberse introducido con la versión 1.0.0.46 de MicTray64. ModZero también ha proporcionado un pseudocódigo que muestra cómo la aplicación MicTray64 captura datos y los envía a un archivo de registro o permite que se capturen, esa información está disponible aquí.

Cualquier aplicación que se ejecute en una sesión de usuario que pueda monitorear los mensajes de depuración podría modificarse para registrar información sobre las pulsaciones de teclas según la forma en que se implementa MicTray64. No hay explicación de por qué Conexant implementó esta función de tal manera y el equipo de ModZero no cree que sea intencional. Pero tampoco hay forma de solucionar el problema en este momento, aparte de posiblemente desinstalar todo el software de audio del sistema. La eliminación de la aplicación MicTray64.exe parece funcionar, pero esto podría provocar que el micrófono no funcione.

Por ahora, ModZero recomienda que los usuarios busquen y eliminen o cambien el nombre de las aplicaciones MicTray64 y MicTray (ubicadas en C: Windows System32 ). Si no se siente cómodo accediendo al espacio de archivos protegido dentro de Windows, pídale ayuda a alguien: jugar en el directorio System32 sin saber lo que está haciendo puede destruir la instalación de su sistema operativo.

HP, hasta la fecha, no ha publicado ninguna información sobre cómo pretenden resolver este problema ni ha hecho ningún comentario público.

Copyright © Todos Los Derechos Reservados | 2007es.com