Driver de áudio da HP tem função que registra tudo o que o usuário digita

A modzero está alertando os usuários de computadores da HP sobre a presença de um keylogger dentro de um dos drivers de áudio da companhia. De acordo com a empresa de monitoramento e consultoria em segurança digital, o problema está em uma solução da Conexant, capaz de registrar todos os caracteres teclados pelo usuário e armazenando-os em um arquivo aberto no disco rígido.

Apesar de a empresa ser responsável pelo fornecimento de drivers para diversos fabricantes de placas, a modzero afirma que o problema é encontrado somente em drivers de áudio para notebooks fabricados pela HP. A raiz da questão encontra-se em um mecanismo que detecta o pressionamento de teclas especiais no computador, como aquelas de funções relacionadas à reprodução de música, mas que acaba registrando todo e qualquer pressionamento feito pelo usuário.

O intuito pode até ser considerado benéfico. Segundo os especialistas, esse sistema também é utilizado pelos desenvolvedores de drivers para detecção de bugs e problemas de funcionamento, registrando as ações realizadas no teclado para análise do que, exatamente, causou a falha. Tal característica, entretanto, permanece ativada para usuários finais, transformando o driver de áudio, para todos os efeitos, em um keylogger.

Pragas desse tipo são bastante usadas por hackers em busca de dados dos usuários. Eles infectam os computadores das vítimas e, depois, analisam o histórico de digitação em busca de informações como senhas de redes sociais ou serviços de e-mail, além de PINs e dados bancários que possam levar a fraudes.

O roubo de dados não seria o objetivo aqui, mas o registro das informações em um arquivo aberto no próprio HDD pode levar a esse tipo de brecha caso hackers tenham acesso indevido à máquina. Segundo os especialistas, mesmo um mecanismo de segurança que faz com que o log seja resetado a cada reinicialização do sistema não é eficaz, uma vez que as informações poderiam ser recuperadas com o uso de softwares de detecção de dados deletados ou acabarem disponíveis em backups periódicos, que são uma realidade, por exemplo, nas corporações.

A modzero afirma que não há indícios de uma implementação maliciosa dessa solução, justamente devido a seu caráter voltado especificamente para o desenvolvimento – o que apontaria para uma negligência dos desenvolvedores, que deixaram a opção ativada. Entretanto, os especialistas levantam questões relacionadas ao fato de a Conexant ter surgido de divisões da Rockwell International, com raízes nas indústrias armamentista e de exploração espacial, com grandes relações junto ao governo americano.

A modzero afirma que a descoberta da brecha foi revelada tanto à fabricante quanto à Conexant, que não fizeram nenhum pronunciamento nem atualização para corrigi-la. Sendo assim, ela foi revelada a todo o público. Depois disso, a HPE, braço empresarial da Hewlett-Packard, negou responsabilidade sobre o caso, afirmando que a questão se relaciona exclusivamente à operação de produtos para consumidor gerenciada sob o nome HP Inc.

Como resolver

Apesar da gravidade da questão, a vulnerabilidade parece ser de simples resolução. Caso você tenha um notebook da marca, os especialistas recomendam a busca, no Gerenciador de Tarefas, por um executável chamado MicTray, que também pode aparecer como MicTray64 de acordo com a categoria do processador.

Caso o aplicativo seja detectado, a recomendação é finalizá-lo e seguir à pasta System32, na raiz do sistema operacional, para apagá-lo, interrompendo o funcionamento do keylogger. Buscar pelo arquivo MicTray.log também é necessário, e caso tais dados sejam encontrados, o usuário deve deletá-los, já que, em seu interior, estão as informações de digitação registradas pelo driver.

Fonte: modzero