“你有惠普笔记本吗?如果有,停下你手上所有事听我说,你在惠普笔记本上每一个敲击记录正在被悄悄记录。”IT 分析师 Swati Khandelwal 两个月写下这段警示的时候,或许没想到中国消费者两个月后对这一潜在威胁依旧懵然不知。
近日,中国某部委统计信息部下发了《网络与信息安全风险通报》(以下简称“通报”),披露了惠普电脑音频驱动被发现存在隐藏键盘记录器,用户所有的按键记录均被监控,并明文存储至文本文件。
沉寂了 2 个月的惠普电脑记录用户键盘事件再次被推上了风口浪尖,用户隐私安全在硬件关口上遭遇史上最严峻的考验。
电脑键盘信息被偷偷记录
今年 5 月,瑞士安全公司 Modzero 的研究人员在检查 Windows Active Domain 的基础设施时发现惠普声卡音频驱动中存在一个内置键盘记录器,监控用户的所有按键输入。
根据公开资料,发现问题的声卡驱动包为 Conexant(科胜讯)提供,科胜讯系统公司是全球知名的通信电子半导体独立研发厂商,提供音频芯片给 PC 厂商惠普、戴尔、Thinkpad 等。笔记本有很多快捷键,这些快捷键对按键的识别、响应都是由硬件厂商编写的驱动来实现,为了测试快捷键的有效性,通常在调试的时候会在日志里记录所有的按键动作。“如果发布的正式版驱动中还留存这些调试信息就会造成安全隐患,导致用户的按键记录被日志文件留存。”360 安全专家安扬在接受《IT 时报》记者采访时表示,通过键盘输入的信息,会被记录在本地日志里,如果设备已经感染木马,而木马去窃取这个日志文件,就会造成键盘输入信息泄露。
换句话说,在恶意情况下,因为有了这个“监视器”的存在,用户在电脑上输入的一切信息,包括账户信息、信用卡卡号、聊天记录、密码等敏感信息都有可能被泄露。
5 月份海外媒体公布这一漏洞时,在国内安全圈内引发了一场不小的地震,不少安全厂商进行跟踪分析。然而国内很多惠普消费者并不清楚这样的键盘记录会给自己的隐私带来什么威胁。《IT 时报》记者采访多位惠普电脑用户,均表示没听说过这件事,也没想过更新驱动。
“惠普此次出现的漏洞属于高危漏洞,消费端没什么反应主要原因是还没有具体恶性案例出现。”一位资深安全人士如是分析。
漏洞通知“隐藏”很深
今年 6 月 1 日起正式实施的中国《网络安全法》第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
“这是产品缺陷造成的安全隐患,”安扬表示,在特定情况下,惠普键盘记录器的漏洞会对用户造成严重危害。但在惠普的中国官网首页,《IT 时报》记者并没有发现对此事件有任何的官方声明,也没有在“惠普技术支持”页面明显位置找到针对此次漏洞的补丁程序。
根据 Modzero 的报告,这个键盘记录器至少在 2015 年圣诞节前已经存在于惠普电脑上。2015 年,该键盘记录功能以新的诊断功能被引入 HP 音频驱动程序与新的 1.0.0.46 版本中,报告指出,30 款惠普笔记本受到影响,包括 HP Elitebook 800 系列、EliteBook Folio G1、HP ProBook 600 和 400 系列等。
于是,记者随机挑选了一款被影响的笔记本电脑型号——EliteBook Folio G1 进行搜索,此时网站才跳出一条提醒,“某些版本的 Conexant HD 音频驱动程序已在某些 HP 产品上识别出潜在的安全漏洞。请检查您的电脑是否受影响,并下载软件修复。” 同时跳出一篇“SUPPORT COMMUNICATION(支持沟通)- 安全公告”,根据这篇公告,该漏洞所涉及的电脑不止此前 Modzero 提到的 30 余款笔记本电脑,而是有 104 个型号,包括惠普商用笔记本电脑、商用台式机电脑和消费类笔记本电脑。
从公告内容可以看出,这篇公告发布于 2017 年 5 月 15 日,2017 年 7 月 10 日更新,这两个时间节点恰恰都在此事件两度被中国媒体曝光之后数天。7 月 13 日,《IT 时报》记者打开惠普美国网站,在同样一篇针对 EliteBook Folio G1 键盘记录漏洞的公告中,发布日期是 5 月 12 日,而更新日期是 6 月 22 日。
根据瑞士安全公司的声明,他们在 4 月 28 日发现了这个问题,但惠普和科胜讯都没有回应。5 月 11 日,Modzero 发布白皮书公开此事。5 月 12 日,惠普发布了一封名为“HP : Modzero report on keylogger issue(惠普:Modzero 关于键盘记录器问题的报告)”的简短声明。
中国惠普的客服告诉《IT 时报》记者,这个补丁程序需要客户自己下载并安装运行。当记者询问是否惠普会主动推送补丁程序时,客服只是说,可以直接给记者邮箱发下载链接。不过在惠普此前的英文声明中表示,个人用户可以通过 Windows 的自动更新进行修复,由 IT 团队管理的企业用户,可以通过标准化工具进行部署。但记者并没有找到这封声明的中文版。
惠普是唯一出现问题的 PC 厂商
一位从事 PC 行业十几年的资深业内人士告诉《IT 时报》记者,惠普出现的这种情况在 PC 圈内非常罕见,不可思议,“属于惠普单方面的问题,其他 PC 厂商目前没有发现类似问题。”
为什么硬件厂商会出现这样的安全漏洞?根据惠普的说法,这款由供应商开发的软件仅用于对产品正式发布前的版本进行音频测试,不应出现在最终销售的版本中,“声卡驱动程序中部分调试代码被错误地保留下来,这是一个意外。”
“作为全球 PC 大厂,惠普给出的漏洞原因不太能让人接受,很难想象是开发人员疏忽导致的,”易观终端分析师赵子明在接受记者采访时表示,很多盗号工具使用木马都是通过键盘记录用户的输入信息,“在整个 PC 市场环境不太好的情况下,惠普的做法不明智,在与竞品竞争激烈的时候,消费者很可能因为安全问题而放弃惠普产品。”
这会是惠普的另一个“坑”吗?
2010 年的央视3·15 晚会上,惠普 V3000 和 DV2000 笔记本成为“明星产品”,惠普的笔记本产品质量(闪屏、过热)遭到曝光,当时的惠普遭遇进入中国 25 年来最大的品牌信任危机。
彼时也是惠普在中国激进扩张的一年。时任中国惠普总裁兼总经理张永利在随后的媒体发布会上表示:“过去几年惠普扩张过快,导致服务和管理有失误。”这是惠普第一次向中国消费者道歉。
根据惠普 2009 年第四季度财报,在中国市场,惠普 PC 销售额增长了 40%,增幅高居同行首列。但3·15 晚上会后,惠普在中国的销量大跌。
近两年,随着移动互联网强势崛起,PC 的日子越来越不好过,然而近日惠普却迎来了一个喜报:IDC 公布的数据显示,虽然 2017 年第一季度全球 PC 出货量依然增长乏力,但惠普表现不错,超过联想成为全球最大的 PC 制造商。
IDC 数据显示,一季度全球 PC 出货总计达 6030 万台,同比增长 0.6%。自 2012 年一季度以来,这是 PC 季度出货量第一次反弹。惠普 PC 出货 1310 万台,同比增长 13.1%,市场份额为 21.8%。上述资深业内人士透露,惠普 PC 在中国的销量占比大约为四成,即 500 多万台。
PC 市场似乎有正在复苏的迹象,而惠普的键盘记录器却让这份喜报蒙上了一层阴影。
Tips
安全专家给惠普笔记本用户的建议:
1、如果发现系统存在如下文件C:\Windows\System32\MicTray64.exe 和C:\Windows\System32\MicTray.exe,最好将其删除或修改文件名。
2、更简单的方法是通过一些第三方安全软件的电脑清理功能直接进行插件清理,删除上述文件。
3、登录惠普官网,在“支持”栏目中输入自己的电脑型号,根据提示下载并安装。
