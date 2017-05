Ohne dies anzukündigen hat HP den sicherheitstechnisch höchst bedenklichen HD-Audio-Treiber von Conexant, der auf diversen Notebookmodellen des Computerbauers vorinstalliert ist, aktualisiert. Der alte Treiber hatte einen aktiven Keylogger im Schlepptau und sollte schnellstmöglich durch die neue Version ersetzt werden!

Wer spioniert hier?

Wer jetzt einen großangelegten Spionageangriff der US-amerikanischen Geheimdienste erwartet, wird enttäuscht, denn allem Anschein nach handelt es sich "nur" um gefährliche Schlamperei durch die Software-Entwickler von Conexant. Das Programm MicTray64.exe, welches zusammen mit Conexants HD-Audio-Treiber installiert wird, überwacht die Multimediatasten, um die Lautstärke anzupassen oder die Medienwiedergabe zu steuern. Dabei schreibt es sämtliche Tastatureingaben in eine ungeschützte Textdatei, also auch Passwörter und andere hochgradig sensible Daten. Es scheint sich um eine Debug-Funktion zu handeln, die ein schusseliger Programmierer im Code vergessen hat.

Wie geht der Keylogger vor?

MicTray64.exe findet sich im System32-Ordner von Windows, betroffen sind zumindest die Programmversionen 1.0.0.31 vom 24. Dezember 2015 und 1.0.0.46 vom 11. Oktober 2016. Die Textdatei MicTray.log mit den Tastatureingaben wird im Ordner "Benutzer\Öffentlich" erstellt. Sollte dies nicht möglich sein, werden die Tastatureingaben an die OutputDebugString-API weitergeleitet. Dort kann sie jeder Prozess, der im Kontext des aktuellen Benutzers läuft, einsammeln, ohne Verdacht zu erregen.

Update installieren

Obwohl der neue Treiber keine Log-Datei mehr anlegt, verweist HP leider nicht auf den Sicherheitsaspekt dieses Updates und schreibt in den Versionshinweisen lediglich "Provides update for Audio issue", was ziemlich nichtssagend und auch irreführend ist. Zumindest wird das Update als kritisch eingestuft.

Der neue HD-Audio-Treiber unterstützt die folgenden Notebook-Modelle: