惠普笔记本音频驱动竟内置键盘记录器后门，你还是“绵羊”么？

当你在星巴克惬意的喝着咖啡，在hp笔记本上敲着按键输入各种账号密码、编写各种邮件、文档的时候，假如这些按键信息都记录在了一个文件中，然后再被人窃取，你会不会不寒而栗？

这个问题官方已经确认，来自瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普音频驱动中存在一个内置键盘记录器监控用户的所有按键输入。

按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商Conexant开发的音频芯片，该厂商还会为音频芯片开发驱动即Conexant高清音频驱动，有助于软件跟硬件通信。根据计算机机型的不同，惠普还将一些代码嵌入由Conexant开发的音频驱动中从而控制特殊键如键盘上的Media键。

研究人员指出，惠普的缺陷代码 (CVE-2017-8360) 实现不良，它不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。这个记录文件位于公用文件夹C:\\Users\\Public\\MicTray.log中，包含很多敏感信息如用户登录数据和密码，其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。

2015年，这个按键记录功能以新的诊断功能身份在惠普音频驱动版本1.0.0.46中推出，并自此有近30款惠普计算机都内置有这种功能。

这个问题的原理很简单，大家都知道笔记本有很多快捷键，诸如调节亮度、音量、WIFI开关、键盘灯等等都可以用快捷键操作，比如笔者现在使用的Dell XPS 按下了FN+F1能够开启/关闭静音，这些快捷键对按键的识别、响应都是由硬件厂商编写的驱动来实现的，而为了测试快捷键的有效性，通常在调试的时候会在日志里记录所有的按键，如果发布的正式版的驱动中还留存这些调试信息会怎么样？这就是hp这次曝光出来的问题，你的所有按键记录，都在日志文件中留存，如果被人拷走，也就是说，你最近按下了什么按键，比如你的各种账号密码，都记录其中。而且，因为这是底层的驱动，安全软件通常不会对它进行检查，因为这是最基本的硬件驱动，而且做的事情也很合理，响应“快捷键”，但是，它“越权”了！

要盗窃一个人的账号密码，最常见的手段就是按键记录，所以早期各种木马软件都包含的一个功能就是“键盘钩子”，用来记录你的各种按键信息，而诸如网上银行这些业务为了防止这种安全隐患，有的是调用软键盘，需要用鼠标来点击数字，不使用按键，有的是安装插件，检查是否有其他的钩子在监控按键信息。

对于阴谋论患者，可以认为这是某些厂商故意遗留的后门，这远比给目标人物投放木马病毒更加简单便捷，假如你的笔记本出现了某些驱动问题，一般来说我们都会运行官方提供的诊断软件进行检查，而当你执行了诊断服务，很多调试信息就会传到服务端执行检查，这其中，也许就包括你的按键记录！

对于一个主流电脑供应商而言，这种安全问题反映了传统厂商对于安全的迟钝，第三方插件一直都是各种安全问题的主要原因之一，特别是在驱动层的问题。同样道理，不只是惠普，也不只是笔记本电脑，所有的硬件驱动都有可能有这样的隐患，所以，这样的问题应当引起大家的重视，比如，不要随意安装运行笔记本官方的那些所谓的诊断服务！还可以安装防火墙软件，阻止不认识的程序或者服务访问互联网。

除了软件上的键盘记录器，还有一种“硬件”键盘记录器更加让人防不胜防！

大家可以看看下面的演示视频：这是由360无线电安全研究部旗下的RocTeam鲲鹏安全团队制作的一个键盘记录安全风险演示工具，在《硬件安全攻防大揭秘》一书的第5章也有相关介绍。

https://v.qq.com/iframe/preview.html?vid=b05237xcye2&

这是由一个不起眼的“小U盘”发起的攻击，将它插入到电脑和键盘中间，之后键盘所有的那件信息，都会记录在这个小小的记录器当中，再通过无线将这些按键信息发送给攻击者，这种攻击方法更加的隐蔽而且难以检测！因为这是从硬件层面发起的攻击，软件上很难检查出来。或许你会说“大不了我每次开机前，都先检查下机箱后面插键盘的地方有没有不明物体呗。”但假如攻击者将记录器植入你的键盘呢？你过生日，送你一个“加料”的机械键盘作为生日礼物，你会怀疑中间藏有“不明物体”么？之后，你的所有按键信息，我都一目了然，你的各种社交账号，你的淘宝、网银，你的邮箱，你发给别人的文字，你写的文档，你写的邮件，只要是键盘的操作，攻击者都一目了然！甚至在你不经意的时候，可以远程给你的电脑发送按键，模拟键盘操作，比如发送“Win+R”打开Windows系统的“运行”然后执行各种命令，比如下载一个木马病毒等等。

同样的，鼠标也可以用这种方式进行记录，以此类推，打印机、扫描仪、扫码枪、读卡器，这些常见的外设，都有可能被攻击，如果不具备安全意识，在不知不觉中，就成众多“狼”眼中的软弱可欺的“绵羊”。

除此之外，还有一种针对无线键盘的攻击手段，无线键盘的所有按键信息都是通过无线电信号传输给无线键盘接收器的，假如能够接收并解析这些按键信息呢？显然，你的所有按键，攻击者依然可以知道，而且不只是键盘，还有鼠标的移动、点击同样可以侦听。

如何查询是否受影响及防范措施

如果你的系统中存在如下两个文件，那么你的计算机上就存在这个按键记录器：

Modzero公司建议称，如果系统中存在以上任意一个文件，那么用户应该删除或更名以上可执行文件以阻止音频驱动收集按键。

另外，如果你经常备份包含以上提到的公用文件夹的话，那么按键记录文件可能也存在于你的敏感数据中且以明文形式出现，任何人都可看到。所以也要记得删除这个按键记录文件。

针对硬件和无线信号方面的攻击

我们该怎么防范呢

亡羊补牢为时不晚，提高自我安全意识，不随意使用无线键盘鼠标，不轻易接收别人赠送的来路不明的键盘，开机前检查机箱后面有没有小尾巴，安装安全防护软件，不给木马病毒可乘之机，定期做安全检查。当你知道了这些攻击手段以及防护方法之后，你还是“绵羊”么？