Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Mag 12, 2017 Marco Schiaffino In evidenza, Keylogger, News, RSS, Vulnerabilità 1
Un vero assist a pirati informatici e malware, che potrebbero accedere a una quantità impressionante di dati riservati, comprese username e password di posta elettronica e servizi Internet.
A farlo è stata HP, che nei suoi driver audio per portatili avrebbe inserito una sorta di “keylogger involontario”, cioè un programma che registra tutto quello che viene digitato sulla tastiera dall’utente.
La scoperta è avvenuta a opera dei ricercatori di Modzero, una società di sicurezza svizzera che avrebbe individuato la vulnerabilità lo scorso 28 aprile e che l’ha resa pubblica ieri.
Il problema si annida nei driver audio Conexant High-Definition (HD) e, in particolare, in un file chiamato MicTray64.exe, che è programmato per entrare in funzione a ogni avvio di Windows.
Il suo compito è quello di eseguire un monitoraggio continuo dei tasti premuti dall’utente per individuare eventuali comandi indirizzati alla gestione dell’audio, come l’aumento o la diminuzione del volume, l’attivazione/disattivazione del microfono e altre istruzioni simili.
Il problema è che MicTray64.exe non si limita a monitorare quali tasti vengono premuti: memorizza tutto in un file chiamato Mictray.log che viene salvato all’interno della cartella C:\Utenti\Pubblica.
Insomma: chi dovesse mettere le mani sul file, anche semplicemente attraverso l’accesso fisico al computer, avrebbe tra le mani una particolareggiata trascrizione di tutto quanto è stato digitato sul computer.
Lo stesso, naturalmente, può essere fatto attraverso un malware programmato ad hoc per andare a recuperare il file e trasmetterlo a un pirata informatico.
Ma come è venuto in mente a HP di fare un autogol del genere? La possibile spiegazione è arrivata con il comunicato stampa ufficiale di HP in merito alla vicenda. L’azienda statunitense specifica infatti che “il nostro partner (Conexant – ndr) ha sviluppato il software in questione per testare il funzionamento dell’audio durante lo sviluppo prima della pubblicazione e la funzione non avrebbe dovuto essere presente nella versione finale”.
Una versione decisamente plausibile, anche perché l’idea che un file di log di questo genere venga memorizzato in chiaro in una cartella così “esposta” fa effettivamente pensare all’ingenuità di uno sviluppatore che si è scordato di rimuovere uno strumento di test.
Il problema, però, non si limita al file di log. I driver HP, infatti, prevedono che nel caso in cui il file non sia presente (ad esempio perché è stato rimosso) le informazioni siano “girate” a un’API chiamata OutputDebugString.
Il che, nella pratica, significa che un malware potrebbe sfruttare l’API per agire come keylogger, rendendone più difficile l’individuazione da parte degli antivirus che, normalmente, si focalizzano su altri componenti di sistema che i pirati sfruttano a questo scopo.
Il pacchetto software viene preinstallato sui notebook HP ed è presente in 28 modelli di portatili che i ricercatori di Modzero elencano nel report stesso.
Il consiglio degli stessi ricercatori è quello di controllare l’eventuale presenza dei file (l’eseguibile è in c:\Windows\System32\MicTray64.exe) e, se presenti, rimuoverli. Attenzione però: la rimozione di MicTray64.exe comporta il fatto che le scorciatoie da tastiera per i controlli audio non funzioneranno più.
HP, in ogni caso, starebbe lavorando per rendere disponibile al più presto un aggiornamento che risolva il problema. Certo, tutto questo si sarebbe potuto evitare se dalle parti di HP (e di Conexant) avessero prestato maggiore attenzione alle comunicazioni inviate da Modzero.
Stando a quanto riportato dalla società svizzera, infatti, tutti i loro tentativi di entrare in contatto con i responsabili della sicurezza delle due aziende sarebbero andati a vuoto, fino a quando i ricercatori non hanno deciso di rendere pubblica la vulnerabilità.
Mag 24, 2024 0
Ott 23, 2023 0
Giu 19, 2023 0
Mar 10, 2023 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...
One thought on “C’è un keylogger nascosto nei portatili HP”