01 Agosto 2017
HP ha iniziato a distribuire un aggiornamento per i driver audio di diversi suoi prodotti (principalmente del segmento business/enterprise, tra cui molti EliteBook, ZBook, Elite X e ProBook; l'elenco completo dei modelli si trova QUI) per rimuovere la presenza di un keylogger, scoperto dalla società di sicurezza informatica svizzera Modzero appena ieri. Stando al post di Modzero, non ci sono prove di intento malevolo né da parte di HP né da parte di Conexant, che sviluppa in prima persona i driver per i propri chip.
Il keylogger sarebbe presente nei driver con versione 10.0.46 e precedenti. La versione più aggiornata registra e salva in un file tutti i tasti premuti sulla tastiera, con l'intento di capire se è stato premuto o meno un determinato pulsante. Il log viene salvato in C:\Users\Public\MicTray.log; per lo meno viene cancellato ogni volta che ci si disconnette dall'account Windows. I tasti premuti vengono salvati nel corrispettivo codice esadecimale, ma non criptati e in testo semplice; su Twitter c'è un esempio di come appare il file.
Ugh! Upgraded to latest HP / Conexant audio driver, and it started to log every key I pressed. Ping @samilaiho @AdaptivaAmi @mod0 pic.twitter.com/1q3eULocIO
— Johan Arwidmark (@jarwidmark) 11 maggio 2017
È consuetudine che le società di sicurezza avvisino gli sviluppatori coinvolti prima di divulgare pubblicamente informazioni di questo tipo; Modzero dice di averlo fatto, ma siccome né HP né Conexant hanno risposto ha postato le proprie scoperte sul proprio blog ufficiale. A questo punto HP si è attivata immediatamente, e nel giro di nemmeno 24 ore ha fatto sapere attraverso ZDNet che una patch è già disponibile sul sito di HP e su Windows Update per tutti i modelli colpiti prodotti nel 2016. Per quelli del 2015, l'aggiornamento dovrebbe arrivare nelle prossime ore (è stato indicato un generico "venerdì", ma bisogna tener conto del fuso orario degli Stati Uniti).
Commenti
Apple attenta alla privacy. LOL. E te lo dico da persona che ha un macbook, ma che quando deve fare un lavoro che richiede privacy, riavvia in una bella partizione con Linux
Ovvio cosa! tu dicevi che accettavano tutto! citando quello che TUTTI sapevano essere una bufala, anche tu puoi fare richiesta di un brevetti, puoi farla anche su una macchina per trovare i fantasmi, ma ovviamente non te la accettano!
Ciccio, il brevetto è ancora lì.
E' OVVIO che non sia stato registrato come valido, ma non è ancora stato respinto cosa che avrebbero dovuto fare da tempo.
dove l'avrei mai scritto?
UPA che file!
tu eri quello del brevetto della macchina del tempo vero
windows invece è apertissimo no?
"ha sempre fatto gli interessi dell'utente, e ci sono precedenti, tipo
quello dell'iPhone di San Bernardino, che confermano ciò che penso."
infatti hanno dati tutti i dati iCloud del tizio senza fiatare ed in barba alla presunta crittografia ;)
Lo farei se non ci fosse un piccolo problema, ovvero che i software che uso per lavorare non esistono open source...
Per quanto mi riguarda, oggettivamente avere un OS con sistema completamente proprietario, e senza drivers di terze parti, riduce di molto il rischio, visto che mi devo fidare solo di Apple e non di Microsoft, HP, Conexant...
Comunque Apple ha sempre fatto gli interessi dell'utente, e ci sono precedenti, tipo quello dell'iPhone di San Bernardino, che confermano ciò che penso.
Non credo che Google si sarebbe comportata allo stesso modo, e lo dico anche da utente Android.
Tu usi solo codice 100% open source nella tua vita quotidiana? Beato te..
"Il fatto è che Apple non ha precedenti"
non sono certo pressapochisti come questi che scrivono file in chiaro.
Se ti spiano usano tecniche ben più evolute eh...
Il lavoro delicato va fatto su un OS open source, non su un sistema chiuso che "ma loro sono buoni!12"...
Come dire "Finché non apri quel libro, potrebbe essere la biografia di Hitler"...
Il fatto è che Apple non ha precedenti di questo tipo e sfido chiunque a trovare una compagnia consumer più attenta alla privacy dell'utente.
Di difetti ne hanno, ma sotto questo punto di vista sono incontestabili.
non c'è molto da capire: se il sisteam è closed source non hai nessuna garanzia.
PUNTO.
Ma che senso ha il tuo commento? Che c'entra la chiusura del sistema?
Ma io boh.
cioè su un sistema chiuso esattamente come il driver in oggetto.
Ottima scelta, ahaha :D
Un keylogger? Ma stiamo scherzando?
È per questo motivo che, pur rimanendo utente multipiattaforma, il lavoro più delicato lo farò sempre su Mac...
è Tim che ringrazia te, ma so che per certe persone è il contrario, ahahaha
Ringrazio di acquistare Apple e MacOS.
https://uploads.disquscdn.c...
A me quel file è completamente vuoto... per fortuna...
(Spectre x360 Skylake)
si inutili come i vaccini
https://uploads.disquscdn.c...
ti ho risposto "di là".
comunque registra tutti gli eventi, quindi ovviamente non fa caso (né sa) se stai digitando su un browser o su notepad
Purtroppo io davvero non comprendo perchè sia "un test" per un driver audio, registrare gli indirizzi del browser per esempio.
Questo mio dubbio è precedente alla valutazione della errata implementazione.
Non so se riesco a mostrare la mia prospettiva.
quello senza dubbio... ritengo sempre che la migliore protezione sia totalmente crosso platform: usare la testa e non fare idiozie
più che altro non dovrebbe essere il driver a rilevare la pressione ma il software che si interfaccia ad esso (e forse è proprio così,non ho approfondito)
Sì, potrebbero leggere il file o agganciarsi all'API senza destare sospetti.
Resta il fatto che prima dovrebbero essere lanciati ;)
01110000 01101111 01110010 01100011 01101111 00100000 01100100 01101001 01101111
infatti il problema non è quello che fa il malware in se', ma quello che potrebbero avere fatto altri malware di autori a conoscenza del problema
Sciemo
ahah anche io me li segno tutti, ma il problema è che fra un po' non ci saranno più marche da prendere..
In fase di sviluppo di codice di basso livello si logga tutto su file perché non sempre puoi avere una vera interfaccia (es. quando il sistema boota o quando sei all'inizio dello sviluppo).
L'errore è stato non disabilitare le opzioni di log. Grave errore ma ci sta
Ci fosse sta volontarietà l'avrebbe cifrato, nascosto meglio (per esempio in un
Alternate Data Streams, fatevi una ricerchina per scoprire che 'meraviglia' è) e sopratutto spedito su qualche server.
In passato installavano un adware che però conteneva una backdoor, chiesero scusa e sistemarono ma comunque rimane sul curriculum ecco
No, traducila e scoprirai
Ma tutti che voglopno spiare?
Cosa succede con Lenovo? Problemi simili?
Esatto pure Lenovo
Già su molti modelli la qualità costruttiva non era eccezionale, dopo questa lì metto da parte loro e Lenovo
Avrebbe fatto molti più click un titolo aggressivo e allarmistico, la portata della cosa è seria, oltre oceano ci sono andati giù molto pesante i maggiori blog
ma si su questo concordo
Comprendo che ci possa essere una motivazioni.
Ma oggi per me è più un "trovare una motivazione a posteriori".
Non so, sono molto sfiduciato, raccontano troppe cavolate
Onestamente è un driver audio, dovrebbero essere generici, detto proprio francamente.
dicono per il controllo del volume da tastiera.
magari (supposizioni) in fase di test hanno riscontrato dei test, quindi hanno implementato questo keylogger per vedere cosa il driver rilevava alla pressione dei tasti, e poi prima di rilasciare il driver si sono dimenticati di togliere questa "funzionalità".
poi non so.
per quanto mi interessa poco, perchè:
1) uso linux
2) per curiosità ho controllato nella partizione windows ma il mio portatile non ha questo file exe (di conseguenza nemmeno il log)
Marò il mio portatile dell'ufficio è nella lista e c'è il log. Che schifezza.
Sempre più soddisfatto di non comprare più HP, cambierò marca pure per la prossima stampante, anche se non mi ha mai dato problemi, sono ladri no aziende serie.
mah a volte le cose semplici sono meglio riuscite:)poi lato business aumenta le teorie di cospirazione
Però se ad ogni pressione di un tasto, un "programma" lo intercetta, qualcosa non va... non pensi? E' vero che puoi usarlo anche per altri scopi (io stesso ho creato text-crypter) che intercetta i tasti e inserisce un nuovo carattere al posto di quello digitato.
Ho letto che un tasto influenzava la registrazione audio o qualcosa del genere.
In pratica quel che doveva essere un normale controllo sull'input è diventata una registrazione su file di tutto quel che viene fatto con la tastiera.
Improbabile che sia innocente.
C'è da dire che un driver audio che come test registra i tasti digitati, fa già pensare di suo.
Che dovrebbero testare?
Azz, il mio pc del lavoro è nella lista!
ma poi cosa c'entrerebbe sapere tutti i tasti premuti a un driver audio?