吳明宜你家有 HP 筆電嗎?如果有,不管你現在在做什麼或聽什麼,都請立刻停下來,因為你的電腦可能正在偷偷錄下你在鍵盤上敲出的每項資訊。
瑞士安全業者 Modzero 研究人員在檢查 Windows Active Domain 基礎架構時,發現 HP 電腦音效驅動程式內藏鍵盤側錄程式,可能竊聽你所有輸入的資料。
鍵盤側錄程式是一種可監看、記錄你在鍵盤上每個輸入動作。通常惡意程式和木馬程式會利用此類能力竊取用戶帳號資訊、信用卡號碼、密碼及其他隱私資料。
HP 電腦使用由 IC 業者 Conexant(科勝訊)開發的音效晶片,該公司也為自家晶片開發驅動程式,名為 Conexant High-Definition (HD) Audio Driver 。這個驅動程式可協助電腦軟、硬體的溝通。
依電腦機型不同,HP 也將某些程式碼嵌入於 Conexant 的音效驅動程式中,以控制特別的按鍵,像是和麥克風有關的按鍵。
HP 音效驅動程式中發現鍵盤側錄程式
研究人員指出,HP 電腦的瑕疵程式碼(CVD-2017-8360)出於實作品質不佳,因此不只是蒐集特定鍵的動作,而是每個按鍵動作都錄下來,且存在可為人類讀取的檔案中。
這個公開資料匣的 log 檔案為 C:\Users\Public\MicTray.log,包含大量機密資訊,像是用戶登入資料和密碼,任何用戶或安裝於電腦上的第三方應用程式都可存取。因此,只要 PC 上有惡意程式或能為他人存取,就能取得該 log 檔案、存取所有你的鍵盤輸入資訊,然後竊取銀行帳戶資訊、密碼、通話或程式原始碼。
「這個音訊驅動程式的目的為何?是 HP 預載的間諜程式?還是 HP 自己也是代為開發的第三方廠商後門軟體的受害者?」Modzero 研究人員說。
2015 年這個鍵盤側錄功能就以診斷功能加入 HP 音效驅動程式,現在該程式已經來到 1.0.0.46 版,存在 HP 近 30 款 Windows PC 之中。
受影響機種包括 HP EliteBook 800 系列、 EliteBook Folio G1 、 HP ProBook 600 和 400 系列等。 Modzero 安全公告列出完整清單如下(https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogger.txt)。
研究人員警告,包含 Conexant 硬體和驅動程式的其他廠商可能也會受到影響。
請檢查你的電腦是否有以下兩個檔案,如果有就表示你電腦有鍵盤側錄程式。
- C:\Windows\System32\MicTray64.exe
- C:\Windows\System32\MicTray.exe
如果你的電腦有上述其中一個檔案,Mozdero 建議你刪除、或是重新命名,以防堵所有音訊驅動程式繼續蒐集你的鍵盤輸入。
「雖然這檔案在每次登入電腦都會被覆寫,但只要執行某些動作,或是用鑑識工具,就能輕易看到這些資訊。如果你定期做硬體備份的話—不論是存到雲端或外部硬碟—就可能看到這些年來你在鍵盤上的所有按鍵記錄。」
此外,要是你的硬碟備份包含 Public 資料夾,則這個鍵盤側錄檔也會連同機密資訊以明碼被他人看得一清二楚,所以也請該檔案刪除。
Source: TheHackerNews