Sicherheitsforscher der schweizerischen Firma modzero haben eine schwerwiegende Sicherheitslücke in einigen HP-Laptops gefunden. Konkret handelt es sich um die Modelle EliteBook, ProBook, Elite x2 und ZBook. Der Audiotreiber wird von Conexant bereitgestellt. Die kritische Ausführungsdatei trägt die Bezeichnung MicTray64.exe und schreibt Tastatureingaben mit. Abgespeichert werden sie bei der Treiber-Version 1.0.0.46 in der öffentlich lesbaren Datei :UsersPublicMicTray.log. Bei älteren Versionen werden sie in den Debug-Logs von Windows gesichert. Das Problem: Auch Passwörter werden in dieser Form abgespeichert – und sind leichte Beute für Trojaner. Die meisten User schalten ihren Laptop schließlich nicht aus, sondern klappen ihn zu. Im Suspend-Modus erhält die Malware sofortigen Zugriff auf die Datei. Zudem werden die Tastatureingaben auch automatisch in Backups gespeichert.
Auch ältere HP-Modelle sind betroffen
Der Audiotreiber als Keylogger ist kein exklusives Problem der neuesten HP-Modelle. Auch ältere Rechner sind betroffen. Die Experten von modzero fand die Sicherheitslücke auch in Treibern, die bereits 2015 erstellt wurden. Die Sicherheitsfirma gehen von einem Fehler aus Schlampigkeit und nicht aus Mutwilligkeit aus. Man habe keinen Hinweis auf eine böswillige Hintertür gefunden, heißt es von modzero.
Tatsächlich lässt sich die Genese der Sicherheitslücke wohl sehr einfach erklären. Ein Audiotreiber muss die Tastatureingaben protokollieren. Schließlich möchte der User, dass der Treiber reagiert, wenn beispielsweise die „Leiser“-Taste betätigt wird. Er muss sich auch daran erinnern, wie die letzte Einstellung war. Entsprechend muss ein Protokoll der Eingaben erstellt werden. In der Programmierung des Treibers sind zwei Fehler passiert: Erstens dürften nicht alle Tastaturanschläge mitgeschrieben werden. Zweitens dürfte die Datei nicht öffentlich einzusehen sein, sondern müsste verschlüsselt abgelegt werden.
Reaktion von HP erst nach öffentlichem Bekanntwerden
Die Sicherheitsforscher von modzero haben den Fehler sowohl an HP wie auch an Conexant gemeldet. Allerdings erhielten sie über geraume Zeit keine Reaktion. Deshalb entschieden sie sich dafür, an die Öffentlichkeit zu gehen. Auf Nachfrage von „Heise Security“ reagierte HP schließlich und versprach schnelle Abhilfe. Zum einen erklärte man, dass der Fehler nicht hätte passieren dürfen. Zum anderen wolle man schnelle Abhilfe schaffen.
Bis dahin können sich die User damit behelfen, dass sie die Treiber-Datei einfach entfernen. Allerdings funktionieren dann auch die Hotkeys der Tastatur nicht mehr. Die Nutzer müssen mit einem deutlichen Komfortverlust leben.
Update 17.05.2017
HP hat einen bereinigten Treiber nachgelegt, der keinerlei Keylogging Funktion mehr enthalten soll.
