Ein auf einer Anzahl von HP-Notebooks installierter Audio-Treiber arbeitet offenbar auch als Keylogger, fand der Hacker Thorsten Schröder von Modzero heraus. Dieser Treiber ist auf mehreren Geräten der Serien Elitebook und Probook schon vorinstalliert.
Der Keylogger steckt in einem Treiberpaket vom Hersteller Conexant Systems, dem HP Audiodriver Package / Conexant High-Definition (HD) Audio Driver in der Version 10.0.931.89 REV: Q PASS: 5. Eventuell sind auch Geräte anderer Hersteller betroffen, die Hardware von Conexant verwenden und diese Treiberpaket benutzen.
Zusammen mit dem Treiber wird die Datei Mictray64.exe installiert und dann nach jedem Systemstart ausgeführt. Dieses Programm überwacht alle Tastaturanschläge der Benutzer, um die Funktionen von Hotkeys und anderen Sonderfunktionstasten wie zum Beispiel der Lautstärkeregulierung abzufangen. Das Programm begnügt sich aber nicht auf die Überwachung der Funktionstasten, zusätzlich speichert es wirklich alle Tastaturanschläge der Benutzer, also auch so vertrauliche Informationen wie beispiel Zugangsdaten und Passwörter, unverschlüsselt in der lokalen Datei C:\Users\Public\MicTray.log ab. Der Inhalt der Datei wird nach jedem Login überschrieben.
Zugriff über Datei oder eine API
Würde das Logfile nicht existieren, sagen die Forscher, würden alle Daten an die Output Debut String API weitergeleitet, die dann die entsprechenden Daten entgegennehmen würde. Ein Angreifer mit Zugang zu dem betroffenen Gerät könnte dann entweder direkt über die Datei oder über die entsprechende Schnittstelle vertrauliche Informationen abziehen.
