12.05.2017, 14:20 Uhr
Passwörter auf HP-Laptops in Gefahr
Schweizer Sicherheitsforscher haben in einem vorinstallierten Audiotreiber einiger HP-Business-Laptops einen Keylogger entdeckt, der Tastaturanschläge mitzeichnet.
Spezialisten der Schweizer Sicherheitsfirma Modzero ist bei einem Routine-Check in HP-Business-Laptops ein verseuchter Audio-Treiber namens Mictray64.exe aufgefallen. Die vom Hersteller der Komponente Conexant gelieferte Treiber schreibt offenbar alle Tastatureingaben einschliesslich der Passwörter des Anwenders unverschlüsselt in eine öffentlich lesbare Datei. Vorinstalliert ist der Keylogger in den HP-Notebooks der Serien EliteBook, ProBook, Elite X2 und ZBook. Eigentlich sollte der Treiber auf die Sondertasten der Lautstärkesteuerung achten, weil es für manche Teile zur Steuerung der Audio-Hardware in einzelnen Modellen sehr spezifische Bauteile gibt. Für Hacker, die davon wissen, ein gefundenes Fressen, weil sich der Keylogger für weitere Angriffe nutzen liesse, um Passwörter auszulesen. Der Übeltäter speichert die Einträge in der Datei C:\Users\Public\MicTray.log.
Treiberdatei kann gelöscht werden
Die Textdatei wird dabei bei jedem Start neu angelegt. Besonders in Gefahr sind daher Rechner, die selten neu gestartet werden. Das «Keylogger»-Verhalten ist offenbar auf eine vergessene Debug-Funktion des Herstellers zurückzuführen, die HP womöglich bei eigenen Sicherheits-Checks übersehen hat. Debugging kommt in der Software-Entwicklung zur Anwendung, um einzelne Schritte des Programmablaufs zu überprüfen. Thorsten Schröder, Sicherheitsanalyst von Modzero, hat bereits Kontakt zu HP aufgenommen, aber bislang ohne Erfolg. Entdeckt hat er das Problem schon in alten Treibern von 2015. Er empfiehlt HP-Nutzern, mit dem Tool DebugView das HP-System auf die Existenz des Tools zu überprüfen. Ausserdem kann man die Treiberdatei MicTray64.exe komplett löschen, wenn man die Sonderfunktionstasten sowieso nicht vermisst. Ein Update von HP existiert bislang nicht.