Encuentran un keylogger en el driver del teclado de algunos portátiles HP

portátiles HP afectados por un keylogger

Es difícil adivinar qué se les pasa a los fabricantes de electrónica para que permitan que suceda algo así. No es el único caso que hemos vivido este año. Lo que sí es cierto es que es la primera vez que hablamos de los portátiles HP. Expertos en seguridad han descubierto que el driver relacionado con el teclado de estos dispositivos está acompañado de un keylogger, encargado de recopilar información introducida por esta vía.

Pero antes de continuar, es necesario añadir un matiz. El código se encuentra en el archivo SynTP.sys. Por defecto, no está activado. Es cierto que bastaría con modificar una clave del registro del sistema operativo Windows para activar esta función.

Indicar que para que ese escenario se pueda dar, es necesario acceder de forma remota al equipo y activar esta función, algo que no es sencillo, pero que tampoco resulta imposible.

La clave de registro de la que hablamos es:

HKLM\Software\Synaptics\%ProductName% HKLM\Software\Synaptics\%ProductName%\Default
Si se modifica la clave de registro, el único escollo que habría que esquivar es el UAC que saltará cuando se apliquen los cambios en el registro, algo que no es excesivamente complicado.

Lo que no ha transcendido es el lugar utilizado por este código para almacenar la información recopilada, pero se utilizaría alguna carpeta local.

Teniendo en cuenta que se trata de un driver “aceptado” por las herramientas de seguridad, esta actividad pasaría totalmente desapercibida entre los softwares antivirus.

Para los portátiles HP afectados ya existe una solución

El fabricante ha publicado un listado oficial de dispositivos que están afectados por lo que podría considerarse un fallo de seguridad. La lista incluye cientos de modelos que están afectados por la presencia de este keylogger en el driver del teclado. Por suerte para los usuarios, desde HP ya han publicado una revisión de este componente software para eliminar el código. Recordad que, aunque esté desactivado, hace falta muy poco esfuerzo para realizar su activación y que comience a recopilar información.

En total, estamos hablando de más de 475 modelos. El listado de modelos es:

25*
mt**
15*
OMEN
ENVY
Pavilion
Stream
ZBook
EliteBook
ProBook

También hay en el listado algunos de la serie Compaq.

El listado de equipos afectados y su correspondiente solución se puede consultar desde el siguiente enlace.

Los expertos en seguridad quieren quitar hierro al asunto. Definen el suceso como un “despiste” por parte del equipo de desarrollo del driver que olvidó eliminar cierto código que sería utilizado para realizar el debugging. Esto no quita para que nos encontremos ante una situación peligrosa si alguien consigue realizar de forma satisfactoria su activación. Algunos expertos han contactado con el fabricante, que ha confirmado que se trata de un código olvidado para realizar un seguimiento al funcionamiento del driver durante el periodo de pruebas.

Fuente > Bleeping Computer

Ver información original al respecto en Fuente: