HPはノートパソコンのキーボードドライバーにランダムキーロガーを残します

ソフトウェアに残っているコードのデバッグは、多くの場合、その出現を待っているセキュリティの問題です。 これは、何が起こっているのかを「インサイダービュー」で確認する必要がある場合に、通常デバッグコードが入力されるためです。



デバッグ機能は、データ漏えいを防ぐために意図的なセキュリティホールを作成することがよくあります。これは、テスト環境ではごく普通ですが、製品の公式リリースでは受け入れられないためです。誤ってオンにすることもできます！）、ただし、プロダクションビルドを整理して、誤って残っているデバッグコードが破棄されるか、ソフトウェアのコンパイル時に自動的にシャットダウンされるようにします。

脆弱性

悪名高い1988インターネットワームには、コピーする3つのトリックがありました。 システム管理者がSendmail製品でデバッグを有効のままにしておくことを期待して、これらの最も簡単で効果的な方法はメールサーバーへの接続でした。

Sendmailデバッグが有効になっている場合、サーバーは受信電子メールメッセージを受信し、一連のシステムコマンドとして直接実行します。これは、制御されたラボ環境以外では意味をなさないデバッグツールです。



Dlinkは最新のルーターのいくつかで同様に危険なことをしました。たとえば、FirefoxやSafariの代わりに、奇妙な名前xmlset_roodkcableoj28840ybtideでブラウザーを発表した場合、パスワードを知らなくてもルーターでsysadminコマンドを実行できます。



この特定の " roodk cable oj "スペルを逆方向​​に読むと、間違いが明らかになります。テキスト行の編集は04882によって行われますJoel：Backdoorは逆順で読み取られます。 数年前、HP LaserJetプリンターは、telnetシェルが出荷プリンターに残されていたため、製品コードでのデバッグ用に開いていたため、失敗しました。



開いているtelnetシェルとは、特別なソフトウェアやパスワードを必要とせずに、すべてのユーザーがデバイスに接続してコマンドラインにアクセスし、選択したプリンターを使用できることを意味します。



セキュリティ研究者のMichael Ming氏によると、HPはリリースバージョンで別のデバッグコードを作成しました。その結果、意図的に作成されたキーロガーが多くのHPラップトップモデルのキーボードドライバーに組み込まれました。 明氏は、キーボードのバックライトを制御する方法を知りたい友人を助けるために研究を始めたと言います。 彼は、次のような興味をそそるメッセージを含むたくさんのテキスト行に気付きました。

ulScanCode=0x%02X, kKeyFlags=%X CPalmDetect::KeyboardHookCallback
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Cプログラマーでなくても心配しないでください。これらのメッセージは、コードに何らかのキーボードインターセプターがあることを通知し、プログラムがスキャンコード（個々のキーストロークの識別数値コード入力時のキーボード上の位置に基づいて）。



これは役に立ちませんでした。 Mingは、Maskと呼ばれる特別なレジストリエントリを設定することで、ドライバーを起動して、WPPと呼ばれる公式のWindowsレジストリシステムを介して各キーストロークを記録できることを理解するために、さらに掘り下げる必要がありました。 WPPは、Windowsソフトウェアプリプロセッサには適していません。



マイクロソフトは次のことを正式に発表します。

WPPソフトウェアトレースは、主に開発中のコードのデバッグを目的としています。

言い換えれば

 CPalmDetect :: KeyboardHookCallback
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上で見たように動作しません。 幸いなことに、Mingは次のことを報告しています。

会社自体の発見に関するメッセージを送信しました。 彼らは非常に迅速に応答し、キーロガー（実際にはデバッグトレース）の存在を確認し、トレースを削除するアップデートをリリースしました。

この「キーロガー」を実行するのに必要なレジストリを設定するには、管理者権限を取得する必要があるため、リスクは低いと見なされることに注意してください。



ただし、ネットワーク内にすでにブリッジヘッドを持っているハッカーにとって、公式のデジタル署名されたキーボードドライバーを使用してキーストロークをキャプチャするレジストリエントリをセットアップすることは、ドライバーソフトウェア自体をいじったり、これを実行する新しいドライバーをインストールしようとするよりもはるかに簡単です仕事。

どうする

1. 脆弱なHPコンピューターを使用している場合は、ここで更新プログラムをインストールしてください。 （注：HP 240 G2からStar Wars Special Edition 15-an000ラップトップまで、HP公式リストには450を超えるモデルがあります。）
2. プログラマーである場合は、デバッグコードを残さないでください。
3. 品質保証テスターである場合、このデバッグコードが無害であり、残る可能性があることを保証するプログラマーを信頼しないでください。

出典： こちら