当心在几款HP笔记本电脑中发现了内置键盘记录器

对停止你正在做的任何事情，仔细倾听：

您的HP笔记本电脑可能正在默默地记录您在键盘上键入的所有内容。

在检查Windows Active Domain基础设施时，来自瑞士安全公司Modzero的安全研究人员在HP音频驱动程序中发现了一个内置键盘记录器，可以监视您的所有按键。

一般来说键盘记录器是一个通过监视键盘上的每个键来记录每次击键的程序。通常，恶意软件和特洛伊木马利用这种能力窃取您的帐户信息、信用卡号、密码和其他私人数据。

惠普电脑附带了集成电路制造商Conexant开发的音频芯片，Conexant还为其音频芯片开发驱动程序。这款名为Conexant高清（HD）音频驱动程序的驱动程序帮助软件与硬件进行通信。

根据电脑型号的不同，惠普还在Conexant提供的音频驱动程序中嵌入了一些代码，用于控制特殊按键，例如键盘上提供的媒体按键。

发现HP Audio Driver中预装了键盘记录器

据研究人员称，有缺陷的代码(CVE-2017-8360)HP编写的程序实现得很差，它不仅捕获了特殊的按键，还记录了每一次按键，并将其存储在一个人类可读的文件中。

此日志文件位于公用文件夹C:\Users\public\MicTray中。日志包含大量敏感信息，如用户的登录数据和密码，安装在计算机上的任何用户或第三方应用程序都可以访问这些信息。

因此，安装在电脑上的恶意软件，甚至可以通过物理方式访问电脑的人，都可以复制日志文件并访问您的所有击键，提取您的敏感数据，如银行详细信息、密码、聊天日志和源代码。

“那么，音频驱动程序中的键盘记录器有什么意义呢？惠普是否提供预装的间谍软件？惠普本身是否是第三方供应商代表惠普开发的后门软件的受害者？”Modzero研究人员质疑惠普。

2015年，该keylogging功能作为一项新的诊断功能推出，更新版本为1.0.0.46，适用于HP音频驱动程序，自那时起已在近30种不同的HP Windows PC机型上使用。

受影响的机型包括HP Elitebook 800系列、Elitebook对开本G1、HP ProBook 600和400系列以及其他许多机型。您可以在Modzero的安全建议中找到受影响的HP PC机型的完整列表。

研究人员还警告说“可能是其他硬件供应商，提供Conexant硬件和驱动程序“也可能受到影响。

如何检查自己是否受到影响并预防自己

如果您的系统中存在以下两个文件中的任何一个，则此键盘记录器将出现在您的电脑上：

• C:\Windows\System32\MicTray64。exe
• C:\Windows\System32\MicTray。exe

如果存在上述任何文件，Modzero建议您删除或重命名上述可执行文件，以防止音频驱动程序收集您的击键。

研究人员警告说：“尽管文件在每次登录后都会被覆盖，但运行过程或取证工具很容易监控内容。”。“如果你定期对硬盘进行增量备份，无论是在云端还是外部硬盘上–；过去几年的所有击键历史记录都可能在你的备份中找到。”

此外，如果您对包含公用文件夹的硬盘驱动器进行定期备份，则有问题的密钥记录文件可能也存在于其中，并以明文形式显示您的敏感数据，以供任何人查看。所以，把它也擦掉。