側錄,就是指電腦裡面有個長期執行的程式,偷偷把用戶每一個按鍵紀錄下來,包括所輸入的密碼和敏感資料。假如那個紀錄被不法之徒取得,就會非常危險。最近一家瑞士保安公司就發現在 HP 電腦裡的音效驅動程式裡,原來藏有一個側錄器,而且已經存在了年多!
瑞士保安公司 modzero 日前在公司網站裡公布,在 HP 電腦的音效驅動程式裡,發現了一個用來側錄用戶鍵盤輸入的側錄器。這個側錄器會將用戶的每個按鍵紀錄在一個名為「 MicTray.log 」的檔案,放在 C:\Users\Public\ 裡,用戶可以隨意閱覽得到。雖然這個檔案會在每次用戶登入時被覆寫,不過假如有惡意程式刻意讀取這個檔案,又或是使用法證軟件的話,就很有機會洩露輸入資料。而對電腦進行雲端或外置硬碟備份的話,也有機會將長年的按鍵資料積存在備份檔案裡。
據知,這個音效驅動程式是由半導體生產商 Conexant 開發,提供給 HP 放在驅動程式包裡給用戶下載使用。而從這個側錄器的資料得知這個側錄器最低限度自 2015 年 12 月便已存在。Conexant 是間也有生產軍工設備的製造商 Rockwell International 分拆出來的公司,主要生產視頻和音效晶片。
為甚麼音效驅動程式需要監視用戶按鍵呢?因為使用時有需要在用戶按下特定按鍵時開關咪高峰,所以需要 OS 與硬件進行溝通。現時沒有證據證明 HP 或 Conexant 有意將側錄器藏在音效程式裡,modzero 估計那是開發者為偵錯而開發的,可能是出於一時疏忽而殘留了那樣的功能。但無論如何,那也是非常危險的事情,尤其是 HP 是很多商業機構的電腦供應商。直至 modzero 發表之時 HP 和 Conexant 都未有就事件作出回應。
modzero 建議所有 HP 用戶應該檢查電腦裡面有沒有「 C:\Windows\System32\MicTray64.exe 」和「 C:\Windows\System32\MicTray.exe 」這兩個檔案,如果發現的話就應該刪除或更改名稱以防止側錄。這樣做也可能導致一些特殊按鍵失靈。另外,也應該去查看有沒有「 C:\Users\Public\MicTray.log 」這個檔案,有的話應該立即徹底刪除。
[ 5 月 16 日更新]HP 剛透過公關公司就這事件發出聲明如下:「HP 已關注到部分 HP 電腦型號中出現的鍵盤紀錄問題。 我們一直非常重視用戶個人資料保安及私隱, HP 並沒有從用戶的電腦中獲得任何用戶資料之存取權, 並已確認每次用戶登出或重新啟動電腦時, 任何於該裝置紀錄下的數據均被刪除。
該軟件由我們的供應商夥伴開發, 只用於在產品推出市場前作測試其音效功能, 此軟件不應包含在最終付運的版本中。受影響的用戶可到 HP. com 查詢修復方案或致電客戶服務熱線 2802 4098。」
資料來源:modzero
