HP incluyen un keylogger en el driver del teclado

El investigador independiente ZWClose quiso investigar acerca de cómo manipular la retroiluminación del teclado HP pero acabó encontrandose un keylogger que afectaba a varios dispositivos. Concretamente se estaría hablando de más de 460 modelos de la compañía.

Los dispositivos HP tenian un keylogger en el driver del teclado. Este keylogger guarda los códigos escaneados a una traza WPP. Por defecto, esto se encontraba desactivado pero puede habilitarse a través de una simple modificación en una clave de registro (requiere UAC).

Las duras acusaciones han obligado a HP a salir para explicar que el software se creó para dar soporte a la corrección de errores. La compañía explica que si bien se podría dar una pérdida de la confidencialidad, también dicen que no han tenido acceso a los datos de los clientes mediante esta potencial brecha de seguridad. Además, la compañía especifica que es un problema de Synaptics y que afectaría a todos los socios OEM de la compañía.

Las gamas ProBook, ZBook, EliteBook, Stream, Spectre, Pavilion y ENVY se ven afectadas en distintos modelos. La lista completa de dispositivos afectados por dicho driver se puede encontrar en este enlace.

Para comprobar que el keylogger está activo, el driver consulta a GetDriverParameter para leer el valor de DebugMask del registro de Windows. Si el valor de DebugMask es 2 entonces la funcionalidad de debug estará activada. Por defecto, el valor de DebugMask es 3, por lo que la funcionalidad de debugging y por tanto el keylogging se encontrarían desactivados.

A través de este hallazgo, podría darse la posibilidad de redirigir la traza de las pulsaciones registradas a un archivo, permitiendo a un atacante remoto cambiar el valor del registro y obtener dicho archivo.

Este hallazgo fue reportado a HP, quienes confirmaron la presencia de un keylogger (que era una traza de debug) y lanzó una actualización que elimina dicha traza.

Fuente: Hispasec