هوشیار باشید! کی لاگر (keylogger) درون ساخت در مدل های مختلف لپ تاپ های اچ پی کشف شد
آیا شما دارای یک لپ تاپ شرکت اچ پی هستید؟
بله؟ پس هرکاری را که در حال انجام آن هستید متوقف کنید و با دقت گوش دهید:
لپ تاپ اچ پی شما ممکن است به صورت مخفیانه در حال ضبط هر چیزی باشد که شما در حال تایپ آن بر روی کیبورد هستید .
در هنگام بررسی منابع محلی فعال ویندوز، محققان امنیتی در شرکت امنیتی Modzero مستقر در سوئیس ، کی لاگری -درون ساخت- در درایور صوتی اچ پی کشف کردند که بر روی تمام کلیدهای فشرده شده جاسوسی انجام می دهد.
به طور کلی، کی لاگر برنامه ای است که تمام کلیدهای کی برد شما را با نظارت بر هر کلیدی که شما روی صفحه کیبورد فشار می دهید ضبط می کند . معمولا ، بدافزار ها و تروجان ها از این قابلیت برای دزدیدن اطلاعات حساب شما، شماره کارت های اعتباری، رمز ها و دیگر داده های شخصی استفاده می کنند.
کامپیوترهای اچ پی با تراشه های صوتی توسعه یافته توسط شرکت Conexant ارائه می شوند که این شرکت تولید کننده ی مدارهای مجتمع و سازنده ی درایور های صوتی برای تراشه ی خود هم هست. درایور صوتی Dubbed High-Definition (HD) شرکت Conexant ، درایوری است که به نرم افزار جهت ارتباط با سخت افزار کمک می کند.
متناسب با مدل کامپیوتر، شرکت اچ پی توسط شرکت Conexant کدهایی را در درایور صوتی جاسازی کرده است که کنترل کلید های خاص از جمله کلید های مدیا (رسانه ای) روی کیبورد را به دست می گیرد.
کی لاگر به صورت "پیش نصب" روی درایورهای صوتی اچ پی یافت شد
به گفته محققان ، کد ناقص نوشته شده توسط اچ پی به صورت ضعیفی پیاده سازی شده است به گونه ای که نه تنها به ذخیره کلیدهای خاص بلکه به ضبط تمام کلیدهای فشرده شده و ذخیره ی آن ها در یک فایل قابل فهم برای انسان اقدام می کند.
این فایل حاوی اطلاعات ثبت شده، که در پوشه ی عمومی C:\Users\Public\MicTray.log قرار دارد، شامل اطلاعات حساس زیادی همانند اطلاعات ورود به سیستم کاربران و رمزهای آن ها می باشد که برای تمامی کابران و برنامه های ثالث نصب شده بر روی کامپیوتر قابل دسترسی است.
بنابراین بدافزار های نصب شده یا حتی افرادی که به صورت فیزیکی به PC دسترسی دارند می توانند فایل لاگ را کپی کنند و به همه ی کلیدها (فشرده شده ) دسترسی یابند. و اطلاعات حساس شما را هم چون جزییات بانکی رمز ها، لاگ های چت و کد های منبع استخراج کنند.
حال مزیت وجود یک کی لاگر در یک درایو صوتی چیست؟ آیا اچ پی یک نرم افزار جاسوسی را ارسال کرده است؟ آیا اچ پی خودش قربانی برنامه پشت صحنه ایست که یک شرکت ثالث از طرف اچ پی آن را اجرا کرده است؟ محققان Modzero از اچ پی سوال کردند.
در سال ۲۰۱۵ این قابلیت ذخیره کلیدها ( keylogging ) به عنوان یک ویژگی تشخیصی جدید ، همراه با بروزرسانی نسخه ۱.۰.۰.۴۶ برای درایور صوتی اچ پی معرفی شد که از آن زمان تا کنون بر روی نزدیک بر ۳۰ مدل ویندوزی مختلف اچ پی وجود دارد.
مدل های آسیب دیده رایانه های شخصی شامل HP Elitebook 800 series, the EliteBook Folio G1, HP ProBook 600 ،۴۰۰ series و خیلی دیگر می شود. شما می توانید لیست مدل تمامی رایانه های شخصی آسیب دیده را در راهنمای امنیتی Modzero پیدا کنید.
هم چنین محققان هشدار دادند که احتمالا سایر فروشندگان سخت افزار که سخت افزارها و درایور های Conexant را دریافت کردند نیز ممکن است آسیب ببینند.
چگونه بررسی کنیم که آیا آسیب دیده ایم و چگونه از خود محافظت کنیم
اگر هر یک از ۲ فایل زیر در سیستم شما موجود باشد بنابراین کی لاگر بر روی رایانه شخصی شما فعال است :
• C:\Windows\System32\MicTray64.exe
• C:\Windows\System32\MicTray.exe
اگر هر یک از فایل های بالا موجود بود، Modzero پیشنهاد می کند که شما حتما فایل اجرایی ذکر شده را حذف کنید یا تغییر نام دهید تا از جمع آوری کلیدها توسط درایور صوتی جلوگیری کنید.
محققان هشدار دادند اگر چه فایل مذکور بعد از هر ورود به سیستم بازنویسی می شود اما به نظر می آید که به راحتی بتوان محتوای آن را توسط اجرای ابزار های جرم شناسی نظاره کرد . اگر شما به صورت مداوم از هارد خود بر روی هارد دیگری یا فضای ابری نسخه ی پشتیبان تهیه می کنید تاریخچه تمامی کلیدهای خود را در سال های پیش می توانید در نسخه های پشتیبان بیابید.
اگر شما معمولا از از هارد خود شامل فایل های عمومی نسخه پشتیبان تهیه می کنید فایل کلیدها ی ذخیره شده ممکن است هم چنان همراه با اطلاعات حساس شما به صورت متن خام قابل بازبینی برای همه باشد بنابراین کاملا آن را پاک کنید.
منبع: http://thehackernews.com/2017/05/hp-audio-driver-laptop-keylogger.html
