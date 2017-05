Die Sicherheitsexperten der modzero AG warnen vor einem Keylogger, der vorinstalliert mit zahlreichen Notebooks des Herstellers HP ausgeliefert wird. Das Programm schreibt alle Tastatureingaben - also auch Passwörter - in eine ungesicherte Textdatei. HP scheint das Problem nicht beheben zu wollen.

Wer spioniert hier?

Wer nun einen großangelegten Spionageangriff der US-amerikanischen Geheimdienste erwartet, wird enttäuscht, denn allem Anschein nach ist es der Unfähigkeit des Audio-Spezialisten Conexant zu verdanken, dass seit 2015 sämtliche Tastatureingaben in einer Log-Datei landen. Verantwortlich ist das Programm MicTray64.exe, welches zusammen mit Conexants HD-Audio-Treiber installiert wird. Es überwacht die Multimediatasten, um die Lautstärke anzupassen oder die Medienwiedergabe zu steuern. Dass dabei sämtliche Tastatureingaben abgefangen und gespeichert werden, liegt vermutlich an einer Debug-Funktion, die ein schusseliger Programmierer im Code vergessen hat.

Wie geht der Keylogger vor?

MicTray64.exe findet sich im System32-Ordner von Windows, betroffen sind zumindest die Programmversionen 1.0.0.31 vom 24. Dezember 2015 und 1.0.0.46 vom 11. Oktober 2016. Die Textdatei MicTray.log mit den Tastatureingaben wird im Ordner "Benutzer\Öffentlich" erstellt. Sollte dies nicht möglich sein, werden die Tastatureingaben an die OutputDebugString-API weitergeleitet. Dort kann sie jeder Prozess, der im Kontext des aktuellen Benutzers läuft, einsammeln, ohne Verdacht zu erregen.

Welche Notebooks sind betroffen?

Laut modzero AG wird der Keylogger mit 28 HP-Notebooks ausgeliefert, es können allerdings auch weitere Hersteller betroffen sein:

HP EliteBook 725 G3, 745 G3 und 755 G3

HP EliteBook 820 G3, 828 G3, 840 G3, 848 G3 und 850 G3

HP EliteBook 1030 G1

HP EliteBook Folio G1

HP EliteBook Folio 1040 G3

HP Elite x2 1012 G1 Tablet - auch mit Travel oder Advanced Keyboard

HP ProBook 640 G2, 650 G2, 645 G2 und 655 G2

HP ProBook 450 G3, 430 G3, 440 G3, 446 G3, 470 G3 und 455 G3

HP ZBook 15u G3 Mobile Workstation

HP ZBook 17 G3, ZBook 15 G3 und ZBook Studio G3

Gegenmaßnahmen

Conexant wurden am 28. April 2017 von den Sicherheitsspezialisten kontaktiert und schweigt sich bisher zu dieser eklatanten Schlamperei aus. HP wurde am 1. Mai 2017 informiert und sucht seither nach jemanden, der sich mit dem Thema Sicherheit auskennt. Offenbar konnte noch niemand gefunden werden, denn es gibt weder eine Bestätigung des Problems noch einen Lösungsvorschlag. Nun, da die Sicherheitslücke öffentlich dokumentiert wurde, hat sich der Druck erhöht. Wer nicht auf HP und Conexant warten will, löscht MicTray64.exe und MicTray.log. Dabei geht allerdings die Funktion der Multimedia-Tasten verloren.