Свыше 20 моделей ноутбуков и планшетов HP имеют предустановленный кейлоггер. Устройства скрытно от своих владельцев ведут запись нажатия клавиш и осуществляют хранение данной информации в незашифрованном файле, размещенном на жестком диске.
По словам экспертов из швейцарской компании Modzero, кейлоггер внедрен в аудиодрайвер от Conexant. Компонент MicTray64.exe – это исполняемый файл, который дает драйверу возможность отвечать, если пользователь нажимает те или иные клавиши. Выяснилось, что файл передает все строки на интерфейс отладки или осуществляет запись в журнал регистрации, размещенный на системном диске компьютера.
Как утверждают исследователи, такая методика отладки приводит к превращению аудиодрайвера в шпионскую программу. Согласно метаданным файлов, кейлоггер внедрен в компьютеры HP как минимум с декабря 2015 года.
Перезапись файла журнала, находящегося в C:\Users\Public\MicTray.log, осуществляется после каждой перезагрузки системы. При этом имеется несколько способов, которые позволяют сохранять контент файла журнала на протяжении нескольких недель или на постоянной основе. Так, перезаписанные или удаленные данные могут быть с легкостью восстановлены посредством утилит для криминалистической экспертизы. Если создание резервных копий данных на компьютере осуществляется на регулярной основе, в бэкапах присутствует все, что когда-либо было набрано пользователем на клавиатуре, включая пароли, электронные сообщения и контактную информацию.
Кейлоггер предустановлен в моделях HP Elite, EliteBook, ProBook и ZBook. Пользователи могут провести проверку своих устройств на наличие файла C:\Windows\System32\MicTray.exe либо MicTray64.exe. Проблема может присутствовать в продукции других компаний, применяющих аудиодрайверы Conexant.
Эксперты сообщили о проблеме кейлоггера в HP и Conexant, но компании так и не ответили, что побудило специалистов опубликовать детальный отчет о сложившейся ситуации.
