研究人员发现笔记本触摸板驱动程序带有记录器,默认关闭状态,可以通过注册表更改打开
软件中的缺陷与不足通常为一些攻击者提供了安装恶意软件的潜在途径。没人期望硬件供应商在其设备驱动程序中包含潜在的恶意软件,但这正是安全研究人员在惠普笔记本电脑上常用的触摸板驱动程序的内部时所发现的:一个按键记录器,可以在 Windows 注册表中对其配置进行简单的更改。
记录器,可能被攻击者或恶意软件利用来获取登录证书和其他数据。这是被安全研究人员 Michael Myng(也称为ZwClose)发现,潜伏在 Synaptics 触摸板的驱动软件中,有数以百计的惠普和康柏商用和消费类笔记本以及许多其他厂商的 Windows 笔记本电脑使用该软件。在向惠普公布这个问题之后,Myng 在12月7日的博客上透露了这一发现。
键盘记录程序明显包含在开发过程中的调试,默认情况下是禁用的。 但是,具有管理权限的用户或软件可以通过更改注册表来激活键盘记录程序:可能使用 Windows Management Instrumentation(WMI)或 PowerShell 脚本远程执行。 一旦打开,它将捕获击键并生成跟踪日志文件。
惠普已于 11月7日 承认键盘记录器的存在,其中包括从惠普支持网站下载的数百种 HP 和 Compaq 笔记本电脑型号的补丁驱动程序链接。在安全发布中,惠普表示,该漏洞 “影响所有Synaptics OEM合作伙伴”。还称,惠普和 Synaptics 都无法访问客户数据。
这是今年惠普笔记本驱动程序中第二次出现键盘记录,今年五月,一个音频驱动程序,貌似也是此类问题。