HP製ノートPCのオーディオドライバーにキーロガー 27
ストーリー by headless
記録 部門より
記録 部門より
HP製ノートPCのオーディオドライバーにキーロガーの機能が発見されたそうだ(modzeroのブログ記事、
modzeroのセキュリティアドバイザリー、
The Registerの記事、
Consumeristの記事)。
オーディオドライバーはConexant製で、HP専用に開発されたもののようだ。このドライバーには特殊キーでオーディオハードウェアをコントロールする機能が含まれているのだが、特殊キーだけでなくすべてのキーストロークをキャプチャーしてデバッグ出力に出力するのだという。
発見されている最も古いバージョンには2015年12月24日の署名が入れられており、最新のバージョン1.0.0.46ではログファイルに出力する機能も追加されているとのこと。ログファイル「C:\Users\Public\MicTray.log」はユーザーがログインするたびに上書きされるが、システムドライブの増分バックアップを保存していれば過去のログファイルも残されていることになる。
キーロガーを発見したスイス・modzeroでは、問題が修正されるまで実行ファイル「C:\Windows\System32\MicTray64.exe」または「C:\Windows\System32\MicTray.exe」を削除/リネームし、ログファイルを削除することを推奨している。ただし、この対策を行うと特殊キーによる操作も使用できなくなる。該当モデルはEliteBookやProBook、ZBookなど計28モデル。詳細なリストはmodzeroのセキュリティアドバイザリーを参照してほしい。
HPでは開発時に使われたテスト機能が誤って残されていたとの見方を示し、HPがユーザーのデータにアクセスすることはないと述べているとのこと。ドライバーの修正版は近いうちにHP.comで提供するとのことだ。
オーディオドライバーはConexant製で、HP専用に開発されたもののようだ。このドライバーには特殊キーでオーディオハードウェアをコントロールする機能が含まれているのだが、特殊キーだけでなくすべてのキーストロークをキャプチャーしてデバッグ出力に出力するのだという。
発見されている最も古いバージョンには2015年12月24日の署名が入れられており、最新のバージョン1.0.0.46ではログファイルに出力する機能も追加されているとのこと。ログファイル「C:\Users\Public\MicTray.log」はユーザーがログインするたびに上書きされるが、システムドライブの増分バックアップを保存していれば過去のログファイルも残されていることになる。
キーロガーを発見したスイス・modzeroでは、問題が修正されるまで実行ファイル「C:\Windows\System32\MicTray64.exe」または「C:\Windows\System32\MicTray.exe」を削除/リネームし、ログファイルを削除することを推奨している。ただし、この対策を行うと特殊キーによる操作も使用できなくなる。該当モデルはEliteBookやProBook、ZBookなど計28モデル。詳細なリストはmodzeroのセキュリティアドバイザリーを参照してほしい。
HPでは開発時に使われたテスト機能が誤って残されていたとの見方を示し、HPがユーザーのデータにアクセスすることはないと述べているとのこと。ドライバーの修正版は近いうちにHP.comで提供するとのことだ。
素人考えだけど (スコア:1)
>C:\Users\Public\MicTray.log
をReadOnlyにしておいてもダメなの?
Re:素人考えだけど (スコア:2)
読み出し可能なら、悪意のある人には読まれてしまいます。
記録できなくするという意味では、特殊キーによる操作も出来なくなる。(ソフトウエアとして満足に機能しなくなる)セキュリティの面でもオーディオソフトしても解決しないので意味はない事になると思います。
Re: (スコア:0)
リードオンリーにしたらロガーも書き込めなくなって安全なんじゃね?
ってことじゃね?
Re:素人考えだけど (スコア:1)
善良なソフトだと、ReadOnlyを見ているけど、
この手のソフトが守っているかは知りません。
ご親切に、Renameして新規作成してくれたのもあったけど。
Re: (スコア:0)
元コメの ReadOnly ってのは
「この手のソフト」から書き込み権限とファイルの所有権の両方を奪うって意味ですよ
権限を管理しているのはOSなので、権限を奪えば「この手のソフト」は何も出来なくなります
「この手のソフトが守っているかは知りません。」なんてことはどうでも良くて
とにかく書き込むことは出来ませんし、Renameして新規作成も出来なくなります
Re:素人考えだけど (スコア:1)
ふつーReadOnlyっていえば、DOSから脈々と続く、「ReadOnly属性」のことだと思うよ、。
まーでも、たとえばTEMPディレクトリに書かれたりすると色々無理だね。さすがに%TEMP%から書き込み権限を奪えないので。
Re: (スコア:0)
やろうと思えば、アプリ側を Low Integrity まで落とせば本当に何もできなくなるので(%TEMP%への書き込みすらできなくなる)、そういうこともできなくはないですが、他の機能も動かなくなりそうなので・・・。
Re: (スコア:0)
オーディオが聞けなくなった
Re: (スコア:0)
善良なソフト任せのReadonlyって具体的には何の話なんでしょうか?
解説希望。
Re:素人考えだけど (スコア:1)
ReadOnly属性は簡単に外せるという事。
まあ、別の人が書いているように、そう出来なくする方法もあるけど、
一般人の話ではない。
Re: (スコア:0)
どうせならC:\Users\Public\MicTray.logって名前のフォルダを作っておいたほうが安全かも?
Re:素人考えだけど (スコア:1)
NULにハードリンクじゃだめかな?
#この記事がでてからこのドライバが入ったPCがあるネットカフェに行った人がいるに10カノッサ
Re:素人考えだけど (スコア:2, 興味深い)
NULにハードリンクじゃだめかな?
試してみたら「ローカル NTFS ボリュームは、操作を完了する必要があります。」という謎のエラーメッセージが表示されて失敗した
NULへのシンボリックリンクなら作れた
Re: (スコア:0)
>#この記事がでてからこのドライバが入ったPCがあるネットカフェに行った人がいるに10カノッサ
今時のネットカフェなら個人店でも都度ロールバックしてるんじゃないのかな
狙い目はビジホのロビーじゃなかろうか・・・
Re: (スコア:0)
C:\Users\Public\MicTray.log を収集するマルウェアはすでに存在するんだろうなぁ・・・きっと。
Re: (スコア:0)
ハードリンクってどういうものだかわかってる?
さすがにLenoveとは違うか (スコア:0)
あっちは苦しい言い訳にしか聞こえなかったもんな
Re:さすがにLenoveとは違うか (スコア:1)
オーディオのドライバーにキー入力をファイルに書き出す機能が「誤って追加された [zdnet.com]」というのが
もっともな言い訳に聞こえるなら、お目出たい。
Re:さすがにLenoveとは違うか (スコア:1)
特殊キーでオーディオデバイスをコントロールする機能がついてるオーディオドライバーだそうだから,たぶんデバグでいれてたものがリリース版にもそのまま残ってたんだろうなぁってな.
結構ありがちに聞こえる.
Re:さすがにLenoveとは違うか (スコア:1)
底辺レベルのプログラマに特定のキーに反応する機能を付けろって言った場合に想定されるものとしては十分ありうる
Re: (スコア:0)
Windows API自体が全部フックして切り分けだからな
なんでマクロで切り分けていなかったのかは気になるが
Re:さすがアメリカ企業 (スコア:2, すばらしい洞察)
そうだよ、それを「日頃の行いの差」って言うんだ。勉強になっただろ
Re: (スコア:0)
こういう件に関しては、アメリカも同様にやりたい放題だと思いますけれどね。
Re: (スコア:0)
こういう件に関しては、アメリカも同様にやりたい放題だと思いますけれどね。
アメリカは日頃の行いで少数民族を虐殺したりしてないし南シナ海を侵略したりしてないし他国にまで及ぶPM2.5をいてないし国民総クチャラーじゃないし。
Re: (スコア:0)
多数民族を少数民族になるまで虐殺したのには目を瞑るんだね
Re:さすがアメリカ企業 (スコア:2, 興味深い)
> 我らが盟主アメリカ様の製品ならキーロガーが入ってても使わせていただきますってところか。
Apple様のiOSで「単なるバグ」で強制的に利用者の位置情報を取得してiTunes上に平文で保存しててもとにかく問題ないってことにしたんだからね
もうなんでもありだろ