HP patcht toetsenborddriver die als keylogger te gebruiken was

HP heeft patches voor een groot aantal laptops uitgebracht nadat een beveiligingsonderzoeker had vastgesteld dat de Synaptics Touchpad-driver een keylogger bevatte die door het aanpassen van een registerwaarde ingeschakeld kon worden. Volgens HP gaat het om debuggingcode.

In de beschrijving van de patches meldt HP dat de kwetsbaarheid 'lokaal verlies van vertrouwelijkheid' met zich meebrengt en dat een aanvaller beheerdersrechten nodig heeft om ervan gebruik te maken. Op de desbetreffende pagina vermeldt het bedrijf verder dat meer dan 170 zakelijke modellen en meer dan 300 consumentenmodellen zijn getroffen.

De kwetsbaarheid is gevonden door beveiligingsonderzoeker Michael Myng, die zijn bevindingen beschrijft in een blogpost. Daarin meldt hij dat de code 'scancodes opsloeg in een wpp-trace'. Een toetsenbord maakt scancodes aan als de gebruiker een bepaalde toets indrukt. Wpp-tracing wordt volgens Microsoft gebruikt tijdens het debuggen van code tijdens de ontwikkeling van software.

Volgens de onderzoeker reageerde HP snel nadat hij zijn bevindingen aan het bedrijf had gemeld en zei het dat het code was die was overgebleven bij debugging. Doordat het bijhouden van de toetsaanslagen standaard uitstaat en via een registerwaarde ingeschakeld moet worden, kan de functie gebruikt worden door een aanvaller die de nodige rechten bezit.

Naast de patches van HP komt er ook een update via Windows uit, aldus de onderzoeker. Het is niet de eerste keer dat HP dit jaar reageert op de ontdekking van een keylogger. In mei vond een beveiligingsbedrijf een dergelijke functie in de de audiodriver van laptops.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 11-12-2017 10:42
60 • submitter: Dutchredgaming

11-12-2017 • 10:42

60

Submitter: Dutchredgaming

Lees meer

HP 14-bp020nd Review

24 mrt 2018

HP 14-bp020nd Review

Instapper met ips en i3

90
HP roept laptops terug vanwege brandgevaar accu's
HP roept laptops terug vanwege brandgevaar accu's Nieuws van 5 januari 2018
Duitse rechter spreekt zich uit tegen gebruik keylogger door werkgever
Duitse rechter spreekt zich uit tegen gebruik keylogger door werkgever Nieuws van 31 juli 2017
Groningse student aangehouden om identiteitsfraude via keyloggers
Groningse student aangehouden om identiteitsfraude via keyloggers Nieuws van 24 juli 2017
HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update
HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update Nieuws van 12 mei 2017
Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger
Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger Nieuws van 16 maart 2017
Meer producten en artikelen
Privacy Netwerk en systeembeheer HP Security

Reacties (60)

-Moderatie-faq
60
57
45
1
0
3
Wijzig sortering

Sorteer op:

Weergave:
glatuin 11 december 2017 10:51
Als je het eerste linkje klikt zie je dat HP al op 7 november een patch beschikbaar had. Is dit dan oud nieuws?
Master FX @glatuin11 december 2017 10:59
En dan .. een driver van 190MB? Dat is ook best flink toch? Of zitten daar alle modellen in één file?
Soar @Master FX11 december 2017 13:21
Het achterlijke formaat komt hoofdzakelijk door de meegeleverde tutorial die gebruikt maakt van animaties die in wmv en mpg vorm zijn opgeslagen. 8)7
Anonymoussaurus
@Master FX11 december 2017 11:04
Vaak is dat een all-in-one package. Dat is voor het distribueren in een zakelijke omgeving heel onhandig, omdat je dan ook meteen tools meeneemt die je juist niet wilt hebben op de laptop van de gebruiker. Dan is het dus sowieso handig om een MSI of iets dergelijks te vinden, in plaats van zo'n exe. Ook omdat je dit soort updates verplicht moet maken als installatie en dat dus op de achtergrond moet gebeuren. Met een setup.exe of iets dergelijks gaat dat niet, want er moet op volgende worden gedrukt. Met .exe's kun je wel gewoon /createmsi erachter knallen, zodat hij er een MSI van maakt. Door bijvoorbeeld <bestand>.msi /quiet te doen, kun je deze dus wel op de achtergrond installeren.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 12:53]

The Third Man @Anonymoussaurus11 december 2017 11:52
"Met een setup.exe of iets dergelijks gaat dat niet, want er moet op volgende worden gedrukt."

Veel .exe installers ondersteunen gewoon /silent of /quiet of iets degelijks, dat is dan vaak geen ramp om op die manier uit te moeten rollen zonder dat je er een msi van hoeft te maken. Daarnaast kan je ook met AutoIT wrappers om wizards maken die op Volgende klikken of zaken invullen etc. Heb een blauwe maandag voor een middelbare school met dergelijke scenario's gewerkt, vandaar.
Anonymoussaurus
@The Third Man11 december 2017 11:53
Dat wel inderdaad, zoals ik al uitlegde, maar niet de installers waarbij interactie met de gebruiker een vereiste is.
The Third Man @Anonymoussaurus11 december 2017 11:55
Snap ik, maar je stelde dat het met een setup.exe 'niet gaat', terwijl slechts een deel van die installers het niet ondersteunen.
Anonymoussaurus
@The Third Man11 december 2017 11:56
Klopt, want dat zeg ik nota bene in datzelfde bericht :p. Bij HP WLAN-drivers had ik dus dat probleem.
Joep Lunaar @Anonymoussaurus11 december 2017 14:06
Groot verschil tussen EXE installer en een MSI package: de laatste is in principe declaratief, passief, van aard en wordt door de system installer verwerkt terwijl de EXE installer van alles kan zijn, procedureel, een programma. Omdat de installer EXE zelf met administratieve rechten wordt uitgevoerd - het programma dat geïnstalleerd wordt kan hoogst waarschijnlijk prima met beperkte rechten uit de voeten - zijn dergelijke installers een bron van ellende.
Onder Linux/BSD wordt traditioneel altijd gebruik gemaakt van packages voor de installatie van programmatuur (bekende package formaten: deb, rpm).

Daarnaast is 190 MB voor een keyboard driver bizar groot, zelfs wanneer het een cumulatieve update is van (alle) HP apparatuur specifieke drivers. Dat betekent waarschijnlijk dat de installer meer dan alleen de driver(s) bevat. Bovendien is het vreemd dat voor deze generieke onderdelen (toetsenbord, touchpad, enz) HP een eigen drivers levert; MS Windows ondersteunt die onderdelen ook vast prima.
thof @Joep Lunaar11 december 2017 16:12
Bovendien is het vreemd dat voor deze generieke onderdelen (toetsenbord, touchpad, enz) HP een eigen drivers levert; MS Windows ondersteunt die onderdelen ook vast prima.
Helemaal mee eens, maar vergeet niet dat fabrikanten nog wel eens (en vooral bij laptops) wat extra knopjes en keyboard shortcuts willen toevoegen. Bij diverse laptops al tegen aangelopen dat dat soort extra functionaliteit niet werkt zonder fabrikant specifieke drivers, erg irritant.
Maurits van Baerle @Master FX11 december 2017 11:01
Ik weet nog dat de HP printer drivers op twee DVD's geleverd moesten worden. :Y)
Verwijderd @Maurits van Baerle11 december 2017 12:02
Hoho, dat waren alle drivers en die kan je, of eigenlijk nu niet meer, nog downloaden. Hier zaten firmwares bij, echt alles.
RedPixel @Master FX11 december 2017 11:03
Dat is het hele pakket, geen idee wat er allemaal in zit, maar de driver zelf is 616 KB
totaalgeenhard @Master FX11 december 2017 11:09
Kost meer tijd om de verbeterde ligger in 190MB data te vinden :)

Het is geen toeval...
Verwijderd @totaalgeenhard11 december 2017 11:32
Ook handig om direct de keylogger in een ander deel van het pakket te gooien. :9
ilaurensnl @totaalgeenhard12 december 2017 07:29
Oh? Het is niet alsof de driver 190 mb is? Hij is vast gesplitst in meerdere delen.
Clickalot @Master FX11 december 2017 14:44
Dat is om de keylogger nog beter te verbergen :D
En wij maar denken dat het er uit is gehaald....
RedPixel @glatuin11 december 2017 11:20
Nee, de blogpost is van afgelopen donderdag. Ik neem aan dat dat via responsible disclosure is gebeurd, en dat de onderzoeker dus eerst HP de kans heeft gegeven het te fixen, een patch uit te brengen en vervolgens pas de blogpost publiek te maken.
Verwijderd @RedPixel11 december 2017 12:57
Een tijd geleden was dit echter al bekend: nieuws: HP zette vermoedelijk per ongeluk keylogger in audiodrivers - update en ik kreeg ook al vrij snel een update erna van mijn HP drivers. Ik dacht dat het dit probleem zou oplossen. Het zou ook wel erg laat zijn als dat nu pas gepatcht zou worden.
RedPixel @Verwijderd11 december 2017 13:04
Dat was een audiodriver, hier gaat het om de keyboarddriver.
Verwijderd @RedPixel11 december 2017 13:46
Oh, mijn fout sorry.
Wel bijzonder dat het alweer om een keylogger gaat, je begrijpt mijn fout wel denk ik ;)
Soar @RedPixel11 december 2017 13:02
In de security bulletin van HP wordt voor mijn laptop driver package version 19.3.31.31 SP81891 aandragen als fix. Het vreemde is dat de digital signature voor SP81891 op 31 augustus staat en dat men dus ruim 2 maanden gewacht heeft met het publiceren van de fix?
RedPixel @Soar11 december 2017 13:07
Volgens de blogpost ging het om een (vergeten?) debug trace in de code. Patchen naar een andere versie die die regel niet heeft fixt het probleem; dat kan dus een versie zijn die al eerder gemaakt is, en die, al dan niet met opzet, de bug fixt.
poktor @glatuin11 december 2017 12:32
lamaar

[Reactie gewijzigd door poktor op 25 juli 2024 12:53]

Tjahneee 11 december 2017 10:57
Enigste meevaller is dat deze keylogger standaard uit staat en moet worden geactiveerd door een registry key aan te passen. Mits je niet lui bent geweest met je beveiliging zal je hiervan een UAC melding krijgen.
Martijntj @Tjahneee11 december 2017 11:01
Of een beheerder in een domein die de waarde even op afstand voor je aanpast...
Eagle Creek @Martijntj11 december 2017 11:25
Maar een domeinbeheerder kan sowieso je volledige pc beheren, monitoren of voorzien van aanvullende software dus dan is de genoemde kwetsbaarheid nauwelijks een verhoogd risico.
Verwijderd @Martijntj11 december 2017 11:29
Die kan sowieso een keylogger installeren zonder dat je het doorhebt.
SunnieNL @Tjahneee11 december 2017 14:54
Ligt eraan of het een user of machine key is.
Userkeys triggeren de uac niet
regmaster 11 december 2017 11:39
Wat is dat toch met dat telemetrie gedoe en datagraaien tegenwoordig? Zijn ze allemaal soms jaloers op Google en Facebook als über datagraaiers waardoor bedrijven vinden dat ze ook recht op dat stukje taart hebben? En als ze gepakt worden is het uiteraard altijd een foutje (dat ze betrapt zijn natuurlijk).
MS loopt waarschijnlijk binnenkort wel tegen een fikse boete aan met de privacy schendingen in Windows 10 (althans daar zijn we flink voor aan het lobby'en in Europa) dus dat zou toch veel bedrijven moeten weerhouden om in dezelfde valkuil te trappen. Maar goed, zolang het volk niet piept is er niets aan de hand en graaien we gewoon lekker door, toch? En als we betrapt worden hangen we de vermoorde onschuld uit.
The Third Man @regmaster11 december 2017 11:54
"Zijn ze allemaal soms jaloers"

Bedrijven zijn geen mensen, ze kunnen echter geld verdienen met data dus dan is het wel 'handig' als het 'per ongeluk' aan is blijven staan.
regmaster @The Third Man11 december 2017 14:12
Daarom moet je de rest van de zin er ook bij betrekken want ik schrijf dat niet voor niets. Recht op dat stukje taart hebben gaat bij het bedrijfsleven over meeprofiteren, en dat gaat eigenlijk altijd om geld.
In het bedrijfsleven werken vaak hele simpele zielen die zien dat iemand ergens geld mee verdiend dus vinden ze al snel dat zij dat ook moeten kunnen. Sommigen noemen zoiets marktwerking maar als het om minder legale of moreel verwerpelijke zaken gaat noem ik dat gewoon crimineel.
The Third Man @regmaster11 december 2017 16:29
Ik snapte je punt wel, maar dat is niet anders dan een slim geplaatste frietkar of een rij taxi's bij een groot evenement. Het gros van de bedrijven probeert een graantje mee te pikken van trends of andere grote bewegingen. Dat is volgens mij geen marktwerking want dat slaat op het effect van de markt op de prijsvoering (zie energiebedrijven en zorgverzekeringen) en is ook niet gevoelig voor strafbaar zijn of niet. Drugshandel is een van de beste voorbeelden van marktwerking en is zo crimineel als de pest.
Verwijderd @The Third Man11 december 2017 12:44
Zeg je nu dat jij op je werk anders bent dan buiten je werk?
The Third Man @Verwijderd11 december 2017 13:49
Ik probeer het verschil aan te geven tussen het ervaren van een emotie als persoon (jaloezie, blijdschap, verdriet) en het bepalen van commercieel beleid (geld verdienen, service verlenen, wereld verbeteren) als bedrijf.
GekkePrutser @regmaster11 december 2017 14:22
Dit was gewoon een debug functie die per ongeluk in een release versie terecht is gekomen. Er is geen enkele indicatie dat de gelogde data ook daadwerkelijk naar HP werd gestuurd. Waarschijnlijk kwam dit gewoon ergens in een .log bestandje terecht.

Debug functies zijn helemaal niets bijzonders. Zo is er ook bijvoorbeeld een functie in veel browsers die de lokale SSL keys logt, zodat je de encrypted verbindingen toch kan sniffen met wireshark. Als een kwaadwillende deze aanzet dan kan hij ook je verkeer afluisteren. Maar als deze zo veel toegang tot je PC heeft dat die dat kan doen, dan kan hij ook gewoon een andere logger installeren. Hetzelfde geldt voor deze functie. Het is een storm in een glas water.
Ytrog 11 december 2017 12:58
Als ik het goed begrijp moet je dit handmatig downloaden en is dit (nog) niet beschikbaar via de update in device manager of windows update (ik krijg iig niks). Weet iemand of dit nog gaat komen?
netmeester @Ytrog11 december 2017 13:12
Probeer het eens met HP Support Assistant, mogelijk kun je het daarmee wel binnenhalen.
Ytrog @netmeester12 december 2017 09:15
Dank. Ik had gehoopt dat het uiteindelijk via die kanalen verspreid ging worden en niet alleen via een website.
Magyku30 @Ytrog11 december 2017 13:41
Of probeer HP Softpaq download manager voor de zakelijke devices.
dutchgio 11 december 2017 11:43
Het heeft wellicht ook impact op meerdere laptops aangezien de Synaptics driver in meerdere laptops wordt gebruikt, en niet alleen die van HP:
https://www.theregister.c...1/hp_synaptics_keylogger/
mjz2cool @dutchgio11 december 2017 11:51
maar de drivers waar het om gaat zijn wel specifiek voor hp, niet de generic drivers van synaptics. de meeste laptops hebben standaard een door de fabrikant geleverde driver.

[Reactie gewijzigd door mjz2cool op 25 juli 2024 12:53]

Ge Someone @mjz2cool11 december 2017 14:47
Gelukkig hoef ik sinds Windows 10 nauwelijks nog drivers van HP te gebruiken.
mjz2cool @Ge Someone12 december 2017 08:03
kon in 7 en 8 ook al wel hoor, had zelf altijd de generic drivers van synaptics omdat de gestures anders niet werkten
Kiswum 11 december 2017 10:49
Alweer!!??

In april van dit jaar zat er nog een keylogger in de audio driver van Conexant die standaard HP laptops staat geïnstalleerd. Deze driver was te vinden op diverse laptops waaronder de Mobile Thin Client: MT42 en MT43. Een maand later werd de patch uitgebracht en die kon je handmatig downloaden op de site van HP.

Meer info is hier te vinden:
https://www.bleepingcompu...dio-driver-of-hp-laptops/
CAPSLOCK2000
11 december 2017 11:59
Alweer. Dat zegt een hoop over Quality Assurance en ontwikkelmethodiek bij HP. Niet dat ik daar veel illusies bij heb. Net als bij ieder groot bedrijf zal de ontwikkelafdeling wel een grote puinhoop zijn. Ooit had ik vertrouwen in HP omdat het bedrijf gerund werd door techneuten die kwaliteit voorop stelden maar die tijd lijkt lang vervlogen te zijn.

Ik snap eerlijk gezegd ook niet waarom HP z'n eigen toetsenborddriver moet ontwikkelen? Wat is er zo bijzonder aan dat toetsenbord dat het een eigen unieke driver nodig heeft? Die paar extra knopjes hebben ze inmiddels allemaal, daar zal toch wel een standaarddriver voor zijn?

Tot op zekere hoogte kan HP er waarschijnlijk niks aan doen, ze moeten werken binnen het raamwerk dat het OS (Windows) biedt. Het is wel een beetje des Windows om te verwachten dat iedere leverancier zelf een driver schrijft voor ieder stuk hardware.

Daar komt bij dat er aan drivers weinig eer is te behalen. Zolang de driver werkt kijkt niemand er ooit naar om. GPU's zijn de uitzondering, maar daar buiten raakt niemand ooit opgewonden over een driver. Dientegevolg is er ook niet veel geld beschikbaar voor goede programmeurs, en de programmeurs die er zijn willen vaak geen drivers schrijven. De kans is dus vrij groot dat het werk gedumpt wordt bij een goedkope ontwikkelaar die de reference driver van de chipbakker moet opleuken tot eindproduct.

PS.
Wat dat betreft heb ik liever het model van Linux waar veel meer met gestandaardiseerde drivers wordt gewerkt. Als je chip X gebruikt, dan gebruik je driver Y, onafhankelijk van welke leverancier een product heeft gebouwd rond chip X.
De meeste hardware kan met een beetje goede wil prima toe met standaard drivers. Als je apparaat echt zo nieuw en anders is dat de standaard driver niet voldoet, dan stuur je maar een patch voor de standaarddriver; dan hoef je niet bij nul te beginnen maar kan je je werk baseren op een driver die al uitgebreid is getest.
Niet dat er onder Linux geen fouten worden gemaakt, maar zo knullig als met deze drivers heb ik het nog niet gezien.
jj71 11 december 2017 12:00
Het is dus een driver voor het touchpad, niet voor het toetsenbord.

Niet alleen HP laptops hebben een Synaptics touchpad, veel Dell laptops hebben dit ook. Zit daar dan niet hetzelfde probleem in? Is het eigenlijk een probleem van HP of een probleem van de fabrikant van het touchpad, Synaptics?
Gummy13 @jj7112 december 2017 09:37
Inderdaad, om driver versie 19.3.11.37 16Aug16.

Iets wat je kunt controleren bij de eigenschappen van C:\windows\system32\drivers\syntp.sys. Tabblad Details.
Vlizzjeffrey 11 december 2017 13:12
Dus er zat/zit een keylogger in hun audiodriver EN hun toetsenborddriver, wow.
Zal wel toeval zijn toch?
smoove 11 december 2017 13:46
misschien hebben andere fabrikanten ook keyloggers maar die zijn nog niet ontdekt 8-)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq