Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden

Auf über 460 HP Notebook-Modellen wurde mal wieder ein Keylogger in den Treibern von Synaptics gefunden. Der Keylogger war zwar dieses Mal deaktiviert, konnte aber durch einen Registry-Eintrag jederzeit zugeschaltet werden. Ergänzung: Gemäß einem Leserkommentar wurden HP-Nutzer bereits im September 2017 vom Unternehmen über ein Update des Synaptics-Treibers informiert – so richtig neu ist das Ganze also nicht.


Anzeige

Es ist ein immer wiederkehrender Vorgang: Alle paar Wochen wird bei HP irgend etwas vorinstalliertes auf den Systemen gefunden, welches die Benutzer trackt oder tracken kann. Ich hatte da häufiger im Blog berichtet (siehe z.B. Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks). Letzte Woche stand ich mit Blog-Leser Leon in Kontakt, wo es um die Frage von Telemetrie und Keyloggern ging. Er hat HP-Geräte in Betrieb. Er wies mich auf einen neuen Fall bei HP hin, erwähnte aber, dass er auf seiner Maschine nichts finden konnte (danke an Leon für die Hinweise).

Worum geht es genau?

Jemand mit dem Namen 'ZwClose on bytes' hat in diesem GitHub-Beitrag die Entdeckung eines Keyloggers in einem Tastaturtreiber von HP bekannt gegeben. Diese Entdeckung ist mal wieder so etwas wie ein Zufallsfund. Jemand fragte bei der betreffenden Person nach, wie man die Tastatur mit Hintergrundbeleuchtung auf einem HP-Notebook kontrollieren könne. ZwClose bat um die Zusendung des Tastaturtreibers SynTP.sys. Als er den Treiber in einem interaktiven Disassembler (IDA) analysierte, stieß er sehr schnell auf eine Liste mit folgenden Einträgen.

Einträge in HP-Tastaturtreiber
(Quelle: GitHub, Zum Vergrößern klicken)

Der hervorgehobene String weckte das Interesse des Untersuchers, deutete dieser doch auf einen Format-String für einen Keylogger hin. Als er den Code disassemblierte, stieß er sehr schnell auf den Keylogger, der über eine KeyboardHookCallback-Funktion eingebunden wurde. Der Code macht sich eine von Microsoft bereitgestellte WPP-Trace-Funktion für User-Mode-Anwendungen zunutze, um die Tastenanschläge auszuwerten.

Keylogger war nicht aktiviert

Der Keylogger war aber nicht aktiviert, sondern prüfte die folgenden Registrierungseinträge ab.

HKLM\Software\Synaptics\%ProductName%
HKLM\Software\Synaptics\%ProductName%\Default

Als %ProductName% ist "SynTP" oder "PointerPort" gefordert und der Wert ist vom Typ DWORD. Über diesen Eintrag lässt sich der Keylogger wohl aktivieren. Das Ganze riecht nach Synaptics. Die weiteren Details lassen sich hier nachlesen.

HP reagierte schnell

Da die betreffende Person keinen HP-Notebook hatte, versuchte er sich (für weitere Untersuchungen) so ein Gerät zu leihen, kam aber nicht weiter. Also kontaktierte er die Firma HP. Er schreibt, dass HP erstaunlich schnell reagierte und die Rückmeldung gab, dass der Treiber in der Tat einen einschaltbare Keylogger beinhalten würde. Dieser war wohl für Debug-Zwecke im Code geblieben.


Anzeige

Es ist zwar fast 30 Jahre her, seit sich mich mit Assembler-Programmierung befasste. Damals war es üblich, solchen Code über Assembler-Directiven zu oder abzuschalten. Wurde dann die Software als fertig betrachtet, deaktivierte man die Directive und der Code wurde nicht mehr assembliert. Das scheint bei den Entwicklern in Asien nicht mehr common sense zu sein.

HP hat dann am 7. November 2017 diesen Artikel als SECURITY BULLETIN veröffentlicht. Dort wird der Synaptics Touchpad Driver als Problem bestätigt. Auf der Seite findet sich die Liste der betroffenen HP-Notebooks (25*, mt**, 15*, OMEN, ENVY, Pavilion, Stream, ZBook, EliteBook und ProBook-Serien, sowie diverse Compaq-Modelle). Gleichzeitig werden dort FTP-Links auf aktualisierte Treiber bereitgestellt, in denen dieser Keylogger entfernt wurde. Bleibt die abschließende Frage, ob jemand von Euch betroffen ist?

PS: Zum Telemetriedatenprogramm HP Touchpoint Analytics Client (siehe Links zu weiteren Artikeln) erreichten mich (mehrfach) Informationen, dass auch Leute ohne HP-Rechner das Programm auf ihren Windows-Maschinen gefunden hätten. Die Installation irgend einer HP-Software für Drucker reichte wohl.

Nachtrag: Problem war HP bekannt, Kunden waren informiert

Blog-Leser Dekre hat in den nachfolgenden Kommentaren darauf hingewiesen, dass dieser Vorfall HP bekannt war. Nach seinen Aussagen wurden HP-Kunden per Newsletter bereits im September 2017 darüber informiert, dass Treiber Debug-Codes zur Tastaturprotokollierung enthalten und revidierte Treiber mit entferntem Code bereitstehen. Das Dokument wurde laut Dekre von HP nun auf November 2017 aktualisiert.

Ähnliche Artikel:
HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm
Firmware-Update für HP-Drucker-Sicherheitslücke verfügbar
Windows 10 V1709: KB4048955 killt HP 3D DriveGuard
Fix und Infos zum Microsoft/HP-Patchday 3D Drive Guard-Bug
Treiber-Update brickt HPE-Server-Netzwerkkarten
HP Elite X3 Windows Phone: Nach 1 Jahr Edelschrott?
Microsoft liefert Details zum HP Black-Screen-Bug
Fix und Infos zum Microsoft/HP-Patchday-Black-Screen-Bug
Firmware-Update blockt erneut Fremdpatronen in HP Officejet
Sicherheitslücke in HPE Integrated Lights-out 4 (iLO 4)
Das HP-Audiotreiber Keylogger Placebo-Update
Stopp: Keylogger in Conexants Audiotreiber auf HP-Notebooks
Akku-Rückruf bei HP-Geräten wegen Brandgefahr
Patzt HP bei Windows 10-OEM-Systemen? Kein Systemreparaturdatenträger erstellbar?Firmware-Update: HP-Office Jets mögen wieder Fremdtinte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden

  1. deoroller sagt:

    Da Synaptics Treiber wohl alternativlos sind, wenn man auf das TouchPad angewiesen ist, wird es eine Menge Leute geben, die betroffen sind.

  2. Dekre sagt:

    Danke, da muss ich doch mal schauen.

    Das ist ja nach dem Motto – "Wenn, du denkst, Nikolaus ist vorbei, nein der Weihnachtsmann und der Osterhase sorgen schon dafür, dass du immer Arbeit hast für sinnlose Dinge. Der Geschenkebringer ist immer die IT-Industrie mit Dingen die sie selber versauen".

    Ach war es früher gut, als es noch die richtige Post gab und die richige Eisenbahn, die auch noch alle Strecken befuhr und auch noch pünktlich war. Und als es noch Telefonzellen gab, die funktionierten und Schmucktelegramme wo man sich freute eines zu erhalten, besser noch eines selbst auszusuchen.

    Schluss mit alle bösen Geistern die uns immer vollplärren mit den schönen Phrasen: "Wir haben was ganz neues entwickelt, es wird alles besser, toller und schicker".

    NEIN muss man da antworten und das mache ich schon resolut. Es wird nichts auch gar nichts schöner und was wirklich Neues ist auch nicht entwickelt worden. Die übermittelte Botschaft bleibt die gleiche. Nur eben ging früher wirklich alles schneller und man musste seine Zeit nicht sinnlos mit den Fehlern der IT-Industrie beschäftigen.

  3. Dekre sagt:

    Günter Du lässt Dich täuschen. Es ist nichts Neues.

    Oh, jetzt bin ich doch mal den Link gefolgt, den Günter eingestellt hat. Der Link ist ist aber nicht vom 07.12.2017 sondern vom 07.11.2017 (HP-Link dort in diesen). Dieses Alert-E-mail von HP dazu habe ich auch erhalten und zwar am 20.11.2017. Denn es ist nichts neues. Es beinhaltet das Gleiche wie im Alert-E-mail von HP vom 21.09.2017. Dieses verweist auf das Ganze.

    In den Github-Beitrag (07.12.2017) wird dann auch auf die Sicherheitsmeldung vom 07.11.2017 verwiesen. Es ist aber auch so nichts neuen, denn das ganze kommt aus September 2017.

    Es wurde hier darüber auch berichtet und zwar genau hier:
    http://www.borncity.com/blog/2017/08/29/precision-touchpad-treiber-auf-jedem-notebook-freigeben/
    Der von mir dann dort eingestellte Link zur HP-Seite funktioniert zwar nicht mehr, da aus dem E-Mail kopiert. Es sind aber die gleichen SP (ServicePacks) von HP. Ich hatte diese verglichen.

    FAZIT:
    Alles schon gelöst und es ist mal wieder nichts Neues. Die Lösung gibt es schon seit dem 05.09.2017. HP hat seine Alert Meldung vom 05.09.2017 mit der Meldung vom 07.11.2017 aufgefrischt.

    Ich habe doch gesagt, dass man nicht an der Systemuhr rumbasteln soll. Ein Rückstellen auf die Steinzeit bringt nicht viel. :)

    • Günter Born sagt:

      Danke für die zusätzlichen Recherchen und die Ergänzung! Hab schon einen Schreck bekommen und befürchtet, einem Hoax aufgesessen zu sein. Dachte erst, ich hätte das mit dem Blog-Beitrag zum Conexant-Beitrag verwechselt. Dem ist aber nicht so.

      In dem verlinkten Blog-Beitrag hatte ich ja nichts über Keylogger berichtet, sondern einen Mod vorgestellt, mit dem man einen Elan- oder Synaptics Precision Touchpad-Treiber auf jedem Notebook freigeben könnte. Dass dort Debug-Code für einen Keylogger im Treiber enthalten ist, war seinerzeit unbekannt.

      Die Mails, die von HP erwähnt werden, stehen mir nicht zur Verfügung. Den Fehler im Datum Dezember im obigen Text habe ich in November korrigiert. Habe mich da wohl durch den Github-Beitrag vom Dezember 2017 irritieren lassen.

      Unter dem Strich: Mit dem Keylogger im Conexant-Treiber auf HP-Geräten hat der obige Fall nichts zu tun. Und ich schließe aus dem vorhergehenden Kommentar: HP informiert seine Kunden wohl seit September 2017 über einen aktualisierten Treiber, der den vergessenen Debug-Code wohl nicht mehr enthält. Wenn nun möglichst viele HP-Kunden den Artikel lesen und den Treiber aktualisieren, wäre das gut.

      • Dekre sagt:

        Danke Günter.
        Zu den HP -Sicherheits-E-Mails kann man sich eintragen und diese verschickt HP dann je nach Gerät und was man so hat und was man möchte. Da das immer gerätespezifisch ist, würde es so auch Dein Blog sprengen. Andere Hersteller machen das wohl auch mit diesen gerätespezifischen Alert-Hinweisen.
        Richtig ist, dass es mit Deinen damaligen Blog-Beitrag direkt nichts zu tun hat, aber ich hatte dann damals dazu was geschrieben, weil eben in meinem ersten damaligen Kommentar ich es genau eben verwechselte (Zufall, wg Alert-Hinweis) und dann habe ich es dazu ergänzt. Im Prinzip wußte HP seit August 2017 davon (und auch MS).

        Im Prinzip sollte schon jeder seine Geräte pflegen. Ich ärgere mich immer nur darüber, das auf diversen Internetseiten (da ist nicht Günter gemeint) dann berichtet wird, man dann reinfällt und dann ist das schon paar Monate alt. Mit meinem ersten Kommentar bin ich da ja auch aufgelegen und dann habe ich es mal nach der Mittagsruhe gemächlich noch einmal die Links und deren Links verfolgt.
        Auch wenn ich über HP meckere, HP bietet aber auch andererseits Lösungen an. Ich kann nur dann meckern, wenn ich auch einen Grund habe. Ich habe noch nie über die Obst-Firma gemeckert, weil ich da nichts habe und auch nichts will.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.