Modzero บริษัทด้านความมั่นคงปลอดภัยจากสวิตเซอร์แลนด์ออกมาแจ้งเตือนถึงโปรแกรมที่ทำตัวเหมือน KeyLogger ซึ่งถูกติดตั้งมาพร้อมกับไดรฟ์เวอร์เสียงบนโน๊ตบุ๊ค HP หลายรุ่น เสี่ยงผู้ใช้ถูกดักอ่านข้อความที่พิมพ์ เช่น รหัสผ่าน หรือข้อความแชท
โปรแกรม KeyLogger ที่ Modzero พบนี้ ปรากฏบน Conexant HD Audio Driver Package เวอร์ชัน 1.0.0.46 หรือก่อนหน้านั้น ซึ่งเป็นไดรฟ์เวอร์เสียงที่ HP ติดตั้งให้กับลูกค้าจากโรงงานตั้งแต่แรก โดยโปรแกรมที่เป็นปัญหาคือ MicTray64.exe (C:\windows\system32\mictray64.exe)
อันที่จริง โปรแกรมดังกล่าวไม่ได้ตั้งใจออกแบบมาให้เป็น KeyLogger เพื่อขโมยข้อมูลแต่อย่างใด แต่ถูกออกแบบมาให้คอยติดตามการพิมพ์ของผู้ใช้ เพื่อตอบสนองการทำงานบางอย่าง เช่น เปิด/ปิดไมโครโฟนผ่านคีย์บอร์ด เป็นต้น และ MicTray64.exe ถูกลงทะเบียนให้เริ่มใช้งานผ่านทาง Scheduled Task ทุกครั้งที่ผู้ใช้ล็อกอินเข้าเครื่องคอมพิวเตอร์ การทำงานแบบนี้ไม่ใช่เรื่องแปลกแต่อย่างใด เนื่องจากไดรฟ์เวอร์ทั่วไปที่ใช้กันอยู่ในปัจจุบันต่างมีลักษณะแบบนี้ทั้งสิ้น อย่างไรก็ตาม ปัญหาของ MicTray64.exe คือ มีการบันทึกข้อมูลการพิมพ์ของผู้ใช้ลงบนไฟล์ด้วยที่ C:\users\public\MicTray.log
นั่นหมายความว่า แฮ็คเกอร์หรือผู้ใช้คนอื่นสามารถเข้าถึงเครื่องเพื่อคัดลอกไฟล์ดังกล่าว แล้วนำข้อมูลการพิมพ์ย้อนหลังไปวิเคราะห์เพื่อค้นหารหัสผ่าน บันทึกแชต URL ที่เคยเข้า ซอร์สโค้ด หรือข้อมูลความลับอื่นๆ ได้ทันที นอกจากนี้ ถ้าเกิดไฟล์มีปัญหา หรือค้นหาไฟล์ไม่เจอ ข้อมูลการพิมพ์ทั้งหมดจะถูกส่งผ่าน Local API ที่ชื่อว่า OutputDebugString API ซึ่งเรียกได้ว่าเป็นช่องทางลับให้มัลแวร์สามารถบันทึกสิ่งที่ผู้ใช้พิมพ์ได้แบบเรียลไทม์ โดยที่ซอฟต์แวร์ Antivirus ไม่สามารถตรวจสอบได้
Modzero ระบุว่า พบ Conexant HD Audio Driver Package ถูกติดตั้งจากโรงงานบนโน๊ตบุ๊ค HP ทั้งหมด 28 รุ่น ดังที่เห็นในรายการด้านล่าง โน๊ตบุ๊คยี่ห้ออื่นๆ ที่ใช้ไดรฟ์เวอร์ดังกล่าวก็ตกอยู่ในความเสี่ยงด้วยเช่นกัน
- HP EliteBook 820 G3 Notebook PC
- HP EliteBook 828 G3 Notebook PC
- HP EliteBook 840 G3 Notebook PC
- HP EliteBook 848 G3 Notebook PC
- HP EliteBook 850 G3 Notebook PC
- HP ProBook 640 G2 Notebook PC
- HP ProBook 650 G2 Notebook PC
- HP ProBook 645 G2 Notebook PC
- HP ProBook 655 G2 Notebook PC
- HP ProBook 450 G3 Notebook PC
- HP ProBook 430 G3 Notebook PC
- HP ProBook 440 G3 Notebook PC
- HP ProBook 446 G3 Notebook PC
- HP ProBook 470 G3 Notebook PC
- HP ProBook 455 G3 Notebook PC
- HP EliteBook 725 G3 Notebook PC
- HP EliteBook 745 G3 Notebook PC
- HP EliteBook 755 G3 Notebook PC
- HP EliteBook 1030 G1 Notebook PC
- HP ZBook 15u G3 Mobile Workstation
- HP Elite x2 1012 G1 Tablet
- HP Elite x2 1012 G1 with Travel Keyboard
- HP Elite x2 1012 G1 Advanced Keyboard
- HP EliteBook Folio 1040 G3 Notebook PC
- HP ZBook 17 G3 Mobile Workstation
- HP ZBook 15 G3 Mobile Workstation
- HP ZBook Studio G3 Mobile Workstation
- HP EliteBook Folio G1 Notebook PC
Modzero ค้นพบปัญหานี้ตั้งแต่วันที่ 28 เมษายนที่ผ่านมา แต่จนถึงตอนนี้ทาง HP ยังไม่ได้ออกมาชี้แจงประเด็นดังกล่าวแต่อย่างใด แนะนำให้ผู้ใช้ลบไฟล์ MicTray64.exe ออกไปก่อนชั่วคราว เพื่อป้องกันการดักฟังข้อมูล
ที่มา: https://www.bleepingcomputer.com/news/security/keylogger-found-in-audio-driver-of-hp-laptops/