El controlador de audio suministrado por Conexant puede poner también en peligro a las PCs de otros fabricantes

 

Desde Aratecnia estamos pendientes a las noticias sobre seguridad informática que aparecen en la red. Hoy resumimos un artículo de Arsthecnica, que habla de algunas vulnerabilidades de los portátiles HP

Los investigadores advierten de que HP está vendiendo más de dos docenas de modelos de portátiles y tabletas que monitorean de forma encubierta cada pulsación de teclas que hace un usuario, según adviertieron investigadores de seguridad. Los dispositivos almacenan las pulsaciones de teclas en un archivo sin cifrar en el disco duro.

El keylogger está incluido en un controlador de dispositivo desarrollado por Conexant, un fabricante de chips de audio que están incluidos en los dispositivos vulnerables de HP. Eso es según un aviso publicado por modzero, una consultora de seguridad con sede en Suiza. Uno de los componentes del controlador de dispositivo es MicTray64.exe, un archivo ejecutable que permite al controlador responder cuando un usuario presiona teclas especiales. Resulta que el archivo envía todas las pulsaciones de teclado a una interfaz de depuración o las escribe en un archivo de registro disponible en la unidad C del ordenador.

«Este tipo de depuración convierte el controlador de audio de forma efectiva en spyware de teclado de login «, escribieron los investigadores de modzero. «Sobre la base de la meta-información de los archivos, este keylogger ya ha existido en los ordenadores HP desde al menos Navidad de 2015.»

El archivo de registro, ubicado en C: \ Users \ Public \ MicTray.log, se sobrescribe después de cada reinicio del equipo, pero hay varias formas en que el contenido podría sobrevivir durante semanas o incluso indefinidamente. Las herramientas forenses facilitan la restauración de archivos eliminados o sobrescritos. Y en el caso de que el portátil  sea respaldado regularmente, las copias de seguridad contendrían una historia completa de todo lo que se escribió en el teclado, incluyendo contraseñas, correos electrónicos y contactos. Los investigadores de Modzero dijeron que emitieron el aviso público después de que HP y Conexant no pudieran responder a los mensajes que informaban en privado de los hallazg

Los modelos HP afectados incluyen el HP EliteBooks, HP ProBooks, HP ZBooks y HP Elites. Pueden comprobar si su equipo HP está en riesgo al buscar los archivos C: \ Windows \ System32 \ MicTray.exe o C: \ Windows \ System32 \ MicTray64.exe. Modzero dijo que los PCs vendidos por otros fabricantes que contienen drivers Conexant pueden estar igualmente en riesgo.

Como se describe por modzero, las funciones de loging por teclado representan la mayor amenaza para las personas que usan ordenadores que se comparten con usuarios no confiables u ordenadores que más tarde se encuentren bajo control físico o remoto de una persona no confiable. No hay ninguna indicación de que el paquete de controladores descargue o distribuya de otra manera  la información registrada. Esto significa que la información almacenada en el registro o login es probable que siga siendo privada, siempre y cuando los equipos afectados y las copias de seguridad que utilizan permanezcan asegurados adecuadamente. Dada esta mitigación, las comparaciones con Superfish, la aplicación HTTPS-paralizante que Lenovo preinstaló en los ordenadores hace varios años, son exageradas.

Sin embargo, es una forma muy negativa de que las aplicaciones y los controladores registren esa información sensible, sobre todo sin ninguna advertencia o razón. Modzero dijo que las personas que poseen una computadora afectada pueden borrar o cambiar el nombre de los archivos C: \ Windows \ System32 \ MicTray.exe o C: \ Windows \ System32 \ MicTray64.exe, aunque ese movimiento puede causar que las teclas de función especiales dejen de funcionar. No hay indicación de que HP o Conexant hayan publicado una actualización.