Gli svizzeri di Modzero, società che offre consulenze in materia di sicurezza, hanno scoperto l’esistenza di un keylogger all’interno di alcuni dispositivi a marchio HP.
Un componente collegato ai driver audio Conexant e installato di default sul sistema di fatto svolge un monitoraggio di tutti i tasti premuti dall’utente durante ogni sessione di lavoro e salva quanto registrato in un file di log all’interno della cartella \Users\Public
di Windows.
Inutile dire, quindi, che all’interno del file di log (C:\Users\Public\MicTray.log
) possono comparire anche informazioni strettamente personali come l’elenco dei siti visitati, nomi utente e password, numeri di carte di credito e così via.
Dal momento che MicTray.log
viene memorizzato in una cartella pubblica, gli altri utenti collegati alla rete locale (si pensi alle situazioni in cui ci si appoggia a una rete WiFi gestita da terzi…) possono accedere al suo contenuto senza la necessità di alcun tipo di autenticazione e sottrarre informazioni molto personali.
Secondo Modzero il problema affliggerebbe molteplici sistemi HP tra cui gli EliteBook, i ProBook, gli Elite e gli ZBook, con Windows 10, Windows 7 o Windows Embedded (l’elenco completo è consultabile in questa pagina).
Come rimuovere il keylogger
Per eliminare il keylogger dai sistemi HP in questione, è innanzi tutto necessario verificarne l’effettiva presenza.
In primis, suggeriamo di controllare l’esistenza del file di registro C:\Users\Public\MicTray.log
così come dei file C:\Windows\System32\MicTray64.exe
e C:\Windows\System32\MicTray.exe
.
Nel caso in cui si dovessero trovare i vari elementi, è possibile provvedere alla loro cancellazione, sia dalla cartella pubblica che dalla directory di sistema di Windows (in caso, ci si può aiutare con le indicazioni dell’articolo Non riesco a cancellare un file: soluzione per un problema molto comune).
Non è dato sapere perché un driver audio come quello di Conexant abbia bisogno di installare un componente software che si comporta come un keylogger. Il motivo potrebbe avere a che fare con l’implementazione delle funzionalità che consentono di rilevare le combinazioni di tasti premute dagli utenti. Verosimilmente, però, potrebbe trattarsi di uno strumento di debug utilizzato da Conexant in fase di sviluppo dei driver audio che poi non è stato erroneamente disabilitato al momento della distribuzione della versione pubblica.