惠普回应笔记本存隐藏键盘记录器：是一个意外

7月7日消息，近日，一则网络安全和信息化领导小组发布安全信息通报流出，该通告称，惠普电脑存在隐藏键盘记录器的安全问题：

“近期，惠普电脑音频驱动被发现存在隐藏键盘记录器。该按键记录器监控用户所有的按键记录，并明文存储至文本文件或者以调试信息发送，其他用户或第三方应用程序均有可能复制按键记录文件并查看用户所有的按键记录，提取到敏感信息如用户名、密码等。”

从图中可以看出，该通告早在6月就已发布，而惠普计算机的安全漏洞更是在5月就被外媒揭露，只是近日才引起国内的关注。

根据媒体的报道，今年5月，来自瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器，可以监控用户的所有按键输入。

据悉，按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。

Modzero在报告指出，惠普计算机的缺陷代码就隐藏在集成电路厂商Conexant（科胜讯）开发的音频驱动中。以下是 360 的分析报告：

科胜讯的MicTray64.exe与Conexant音频驱动程序包同时安装，并且会注册为一个Microsoft计划任务，以便在每一个用户登陆后运行。该程序记录用户键盘输入的所有信息，以捕获和响应麦克风静音/取消静音/快捷键等功能。键盘记录功能主要是通过调用SetwindowsHookEx()实现一个底层键盘输入信息hook函数。除了处理快捷键/功能键的点击事件外，所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件（C:\Users\Public\MicTray.log）中。

如果日志文件不存在或Windows注册表中的信息不可用，所有的键盘输入信息都会传递给OutputDebugString API，这使得当前用户上下文中的任何进程都可以捕捉键盘输入信息，而不会表露出任何恶意行为。

任何可以调用MapViewOfFile API的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据。在1.0.0.31版本中，后门仅仅使用OutputDebugString传递用户键盘输入的信息，而没有将这些信息写入文件中。

该漏洞导致了一个非常高的风险，用户输入的敏感信息或者操作都有可能被泄露。这些信息会被记录在C:\Users\Public\MicTray.log中，或者通过调用MapViewOfFile()函数读取。

据调查，2015年，这个按键记录功能以新的诊断功能身份在惠普音频驱动版本1.0.0.46中推出，受影响的机型包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。

惠普回应称，已经对这一缺陷进行了调查，“声卡驱动程序中部分调试代码被错误地保留下来，这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题。Conexant应当发现并修正这一问题，我们希望未来不会再出现类似问题。”

根据惠普官网发布的 安全公告 ，惠普笔记本用户可以查看自己是否中招。此外，惠普还发布了新版驱动程序，修正了这一缺陷，中招的用户可以从惠普下载、安装更新后的驱动程序。