HP distribuisce driver audio con keylogger

È sempre una buona abitudine aggiornare i driver per migliorare le prestazioni del computer e, in alcuni casi, correggere eventuali bug. La società di sicurezza svizzera ModZero ha però scoperto una vulnerabilità nei driver audio per i chip Conexant, integrati in alcuni notebook di HP, che permette di registrare tutti i tasti premuti dall’utente, agendo in pratica come un keylogger. Il produttore statunitense non ha ancora rilasciato un fix che risolve il problema.

I driver audio sono ovviamente sviluppati da Conexant, ma HP poteva controllare la loro qualità prima di pubblicarli sul suo sito. In ogni caso, la vulnerabilità è stata individuata nella funzionalità che consente di eseguire alcune azioni, ad esempio attivare/disattivare il microfono, premendo un tasto. Il codice del file MicTray64.exe, presente nel pacchetto dei driver ed eseguito ad ogni avvio del computer, include una funzione che intercetta gli “hotkeys”. Invece di elaborare solo l’input di specifici tasti, il software registra la pressione di tutti i tasti.

Gli sviluppatori hanno implementato la diagnostica e il debugging della funzionalità che dovevano essere eliminati prima del rilascio ufficiale. Ciò non è stato fatto al termine dei test, per cui i driver audio installati su alcuni notebook HP sono diventati keylogger. La versione 1.0.0.46 crea anche un file di log leggibile in chiaro contenente l’elenco dei tasti premuti. Anche se il file viene sovrascritto ad ogni login può rimanere traccia nei backup incrementali effettuati dagli utenti.

In attesa della patch è consigliabile individuare e cancellare i file MicTray64.exe o MicTray.exe nella cartella Windows/System32 e il file MicTray.log che potrebbe contenere username, password e altre informazioni sensibili. In questa pagina sono elencati i notebook e le versioni di Windows interessati.