据外媒报道,惠普数十款笔记本电脑的 Synaptics 触控板驱动程序 SynTP.sys 被发现内置了按键记录器,虽然记录功能默认没有启用,但只需要设置一个注册表项的值就能启用。
受到上述按键记录器的影响,影响列表和安全补丁详见这里。
受到影响的笔记本电脑有 475 个型号,包括 303 个消费类笔记本电脑和 172 个商用笔记本电脑,移动客户机和移动工作站。
受影响的型号家族包括 HP 的 25*,mt**,15*,OMEN,ENVY,Pavilion,Stream,ZBook,EliteBook 和 ProBook 系列,以及几款 Compaq 等。
惠普已经为其驱动程序发布了安全更新,以便删除 Synaptics 触摸板驱动程序中包含的 SynTP.sys 文件中存在的调试代码。Synaptics 触摸板驱动程序随许多惠普笔记本电脑型号一起提供。
“惠普在键盘驱动器中有一个键盘记录器。键盘记录器将扫描代码保存到 WPP。日志记录被默认禁用,但可以通过设置注册表值(需要 UAC)来启用。“一位专家在其博客中提到。
该注册表项是:
HKLM\Software\Synaptics\%ProductName%HKLM\Software\Synaptics\%ProductName%\Default
开发人员使用 Windows 软件跟踪预处理器(WPP)技术来调试代码。
风险在于,这种调试功能可能会被滥用,如果启动代码中存在的键盘记录功能,就可以监视惠普用户。本机代码在内核级运行,可以被安全软件检测到。恶意软件开发人员只需要在更改注册表项时绕过 UAC(用户账户控制)提示,就有许多方法可以执行此操作。
据该外媒报道称,惠普承认键盘记录代码的存在,确认它用于调试意图和调试,但因为忘记删除,所以悲剧了。
外媒显然不接受这种说法,讽刺惠普后来的修补行为实为“这个技术巨人‘发布了一个更新,消除痕迹’。”
这不是惠普第一次冒出此类新闻。
5 个月前,一则网络安全和信息化领导小组发布安全信息通报流出,该通告称,惠普电脑存在隐藏键盘记录器的安全问题:
“近期,惠普电脑音频驱动被发现存在隐藏键盘记录器。该按键记录器监控用户所有的按键记录,并明文存储至文本文件或者以调试信息发送,其他用户或第三方应用程序均有可能复制按键记录文件并查看用户所有的按键记录,提取到敏感信息如用户名、密码等。”
惠普当时回应称,已经对这一缺陷进行了调查:“声卡驱动程序中部分调试代码被错误地保留下来,这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题。Conexant 应当发现并修正这一问题,我们希望未来不会再出现类似问题。”