/Tech

Audio-Treiber in HP-Notebooks zeichnen heimlich Tastatureingaben auf

WIRED Staff 12.05.2017

Bei einem Sicherheitscheck von HP-Geräten haben Forscher einen Keylogger in einem Audio-Treiber von Hewlett-Packard-Notebooks aufgespürt. Das Programm schreibt sämtliche Tastatureingaben in eine Datei, die zudem auch noch öffentlich einsehbar ist. 

Die Schweizer Sicherheitsfirma modzero ist bei einem Routinecheck der Sicherheitsfunktionen in HP-Laptops auf die Datei Mictray64.exe gestoßen. Dieser ab Werk installierte Audio-Treiber ist dafür vorgesehen, auf Spezialtastenfunktionen wie Lautstärkeregelung und Ähnliches entsprechend reagieren zu können. Jedoch zeichnet das Programm dabei nicht nur diese Tastatureingaben auf, sondern protokolliert auch die Eingaben sämtlicher Tastendrücke, berichtet Heise. Damit sind neben den Eingaben in privaten Mails und Textdokumenten auch andere sensible Daten wie Passwörter in der angelegten Log-Datei sichtbar.

Laut modzero, die eine Sicherheitswarnung online stellten, ist diese Keylogging-Funktion des Audio-Treibers eine dramatische Sicherheitslücke in HP-Notebooks. Aktuell betrifft das Problem Modelle der HP-Business-Reihen Elitebook, Probook, Elite x2 und Zbook. Ein potenzieller Angreifer könnte über ein Schadprogramm Zugriff auf den Rechner erhalten und eben diese Log-Datei auslesen, um die Tastatureingaben auszuwerten. Die Log-Datei wird lediglich bei einer Neuanmeldung gelöscht und neu angelegt. Modzero empfiehlt HP-Notebook-Besitzern, in jedem Fall beim Ausschalten des Computers das System tatsächlich herunterzufahren und nicht, wie es oft die Regel ist, nur den Bildschirm zuzuklappen und den Laptop damit lediglich in den Standby-Modus zu versetzen. Hierbei bliebe die Textdatei nämlich bestehen.

Während das Problem bereits 2015 von modzero in anderen Dateien entdeckt wurde, ist der entdeckte Audio-Treiber der aktuellste Beweis für eine vergessene Debug-Funktion, die zwar nicht von HP intendiert, jedoch grob fahrlässig ist. Abhilfe scheint es indes nicht zu geben: Thorsten Schröder, Sicherheitsanalyst von modzero, hat bereits Kontakt zu HP aufgenommen, um über das Problem aufzuklären — bislang erfolglos. Schröder empfiehlt HP-Nutzern, das System auf die Existenz der Log-Datei über das Tool DebugView zu überprüfen. Gegebenenfalls kann auch bei Sorge vor Einblick durch Dritte die Treiberdatei MicTray64.exe komplett gelöscht werden. Dabei gehen allerdings die Hotkey-Funktionalität des Notebooks verloren. Es bleibt abzuwarten, ob sich HP zu der Sicherheitslücke noch äußert.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden