HP удалила функционал кейлоггера из аудио драйверов

HP удалила функционал кейлоггера из аудио драйверов

HP удалила функционал кейлоггера из аудио драйверов

В пятницу HP сообщила пользователям, что обновила аудио драйверы для некоторых своих ноутбуков и планшетов, чтобы удалить функционал кейлоггера, обнаруженный исследователями безопасности.

Напомним, что в четверг компания Modzero предупредила пользователей о том, что приложение, установленное на многих устройствах HP с аудио драйверами Conexant, регистрировало нажатие клавиш в файле и передавало их в API отладки, позволяя локальному пользователю или процессу легко получить доступ к паролям и другим потенциально конфиденциальным данным, введенным пользователями.

Обнаруженная уязвимость, известная под идентификатором CVE-2017-8360, была найдена в 28 ноутбуках и планшетах компании HP, включая модели EliteBook, ProBook, Elite X2 и ZBook. Также могут быть затронуты устройства других производителей, которые используют аппаратное обеспечение и драйверы Conexant, но точной информации по этому поводу нет.

Возможности кейлоггера являются частью функции мониторинга нажатия клавиш, предназначенной для определения, нажал ли пользователь какие-либо специальные звуковые клавиши (например, отключить/включить звук).

Исследователи заявили, что не было доказательств того, что функционал кейлоггера был использован в злонамеренных целях.

«Если разработчик просто отключит все протоколирование, это решит любые проблемы, связанные с конфиденциальностью данных пользователей» - утверждает эксперт Thorsten Schroeder, обнаруживший брешь.

HP выпустила обновление для аудио драйвера и пообещала опубликовать официальное сообщение, предоставляющее более подробную информацию. Компания утверждает, что ошибка не позволяет ей получить доступ к данным клиента.

«Наш партнер-поставщик разработал программное обеспечение для тестирования аудиофункций до запуска продукта, и оно не должно было быть включено в конечную версию» - заявляет HP.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru