Un investigador independiente quiso investigar acerca de cómo
manipular la retroiluminación del teclado, sin embargo acabó encontrandose un
keylogger que afectaba a varios dispositivos.
Los dispositivos HP tenian un keylogger en el driver del teclado. Este keylogger guarda los códigos escaneados a una traza WPP. Por defecto, esto se encontraba desactivado pero puede habilitarse a través de una simple modificación en una clave de registro (requiere UAC).
Las gamas ProBook, ZBook, EliteBook, Stream, Spectre, Pavilion y ENVY se ven afectadas en distintos modelos.
Para comprobar que el
keylogger está activo, el driver consulta a GetDriverParameter para leer el
valor de DebugMask del registro de Windows. Si el valor de DebugMask es 2
entonces la funcionalidad de debug estará activada. Por defecto, el valor de
DebugMask es 3, por lo que la funcionalidad de debugging y por tanto el
keylogging se encontrarían desactivados.
A través de este hallazgo, podría darse la posibilidad de redirigir la traza de las pulsaciones registradas a un archivo, permitiendo a un atacante remoto cambiar el valor del registro y obtener dicho archivo.
Este hallazgo fue
reportado a HP, quienes confirmaron la presencia de un keylogger (que era una
traza de debug) y lanzó una actualización que elimina dicha traza.
No hay comentarios.:
Publicar un comentario