HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 24
ストーリー by hylom
ほかのメーカーのものには広がらないのだろうか 部門より
ほかのメーカーのものには広がらないのだろうか 部門より
あるAnonymous Coward 曰く、
HPのノートPCにプリインストールされているポインティングデバイスなどのドライバ(Synapticsドライバ)に、キーロガー的な機能が実装されていることが発見された(PC Watch)。
レジストリの「DebugMask」の値を「2」にセットすると、このドライバがキーボードの入力を取得するようになっていたという。デフォルトでは「3」に設定されていたため通常は問題ないと思われるが、別の脆弱性などと組み合わせて利用される可能性もありそうだ。
タイトルを修正したほうがいいと思いますよ (スコア:0)
ストーリーで引用している記事にも明記されているとおり
> この問題の影響を受ける機種のリストを見ると、
> 約470機種ほどが該当するほか、
> SynapticsのすべてのOEMパートナーの製品に影響するため、比較的大規模な脆弱性修正が行なわれると見られる。
というのが正しい現状です
ここまで情報が出てきているのに、あたかもHP製品だけが問題があるようなタイトルは本気でまずいですよ
Re: (スコア:0)
その約470機種ってHPが発表した自社製品のリストじゃ?HP以外で判明しているのは?
Re: (スコア:0)
Synaptics社製のキーボードやタッチパッドを搭載してれば該当するんじゃないの
Re: (スコア:0)
HPだけですね。
まだ他のベンダはさっぱりですが、タッチパッドといったらSynapticsかElanのどちらかみたいな状態ですから膨大になるかと。
更にドライバ構造が違うとはいえ、Macでも採用されているのでそちらも同様にデバッグ用機能を実装していないか要注目ですね。
srad的にはデバッグログ出力機能に要注意という奴ですね。
MSRやらPIN PADの生ログを吐いちゃうデバッグビルドをリリースしちゃいました的な。
Re: (スコア:0)
>更にドライバ構造が違うとはいえ、Macでも採用されているのでそちらも同様にデバッグ用機能を実装していないか要注目ですね。
MacのタッチパッドがSynaptics製だなんて初めて聞いてびっくりしたんだけど、ソースは?
"Mac Synaptics"でググっても何も出てこないんだが。
Re: (スコア:0)
おっと、普段LinuxでSynapticsドライバを利用しているのでそうかと思っていましたが、勘違いかもしれません。
# 後、ALPSの事も忘れてました。
Re: (スコア:0)
Windowsの脆弱性が見つかった時に、HP製品に搭載されているWindowsに脆弱性が!っていってるようなもんですよねこれ
Re: (スコア:0)
HP限定の誤報じゃないですかね
HP以外の2社のノートで確認しましたが
双方ともその値自体なかったですよ
HKEY_LOCAL_MACHINE\SOFTWARE\Synaptics
HKEY_LOCAL_MACHINE\SOFTWARE\Synaptics\OEM
HKEY_LOCAL_MACHINE\SOFTWARE\Synaptics\SynTP
HKEY_LOCAL_MACHINE\SOFTWARE\Synaptics\SynTPEnh
HKEY_LOCAL_MACHINE\SOFTWARE\Synaptics\SynTPPlugIns
/*
デフォルトで無効の3
てのが
値がない場合はデフォルトと見做す
ってことなんですかね
*/
Re:タイトルを修正したほうがいいと思いますよ (スコア:1)
今回の問題を指摘した方の原文サイトを見れば明記されていますが、
レジストリに記載がない場合にドライババイナリの中で「DebugMask」という変数に設定されるデフォルト値が「3」です
そのうえで、レジストリに特定のキーがあるとその値を取得して上記変数に上書きされます
ドライバのバージョンにもよると思いますが、レジストリにはこのキーがそもそも存在しない環境がほとんどでしょうね
というのも、「DebugMask」なんていう名前のレジストリキーを登録してしまっていたら、それこそこれをガシガシいじる輩が続出するからです
Re: (スコア:0)
チェックするならばSynTP.sysがあるかどうかと
それのバージョンですかね…どこにものってないですが…
Re: (スコア:0)
居るならここ
%windir%\system32\drivers\SynTP.sys
HPじゃないマシンで確認したら
Windows 8.1だとVer.17.0.9.1で
Windows 10だとVer.19.3.22.34でしたね
デバイスマネージャーからの更新確認では最新
メーカーのカスタムVer.なら多少は末尾違うかも
デバイスマネージャーのSynapticsなんちゃらのドライバ タブ の 詳細 で
読み込まれて居ることが確認できるはず
今回のネタがHPじゃなければ
修正Ver.いただいちゃうところだけれど
キーロガーネタで連投してるHPからだからなぁ
なん
Re: (スコア:0)
リストに載ってる対象のノートでwin10クリーンインストールしてWindowsUpdateで降ってきたドライバですが、DebugMaskという名前の該当キーは存在しないですね
Re: (スコア:0)
ああ、HPがOEMとして発売しているノートブックってことですかね
Re: (スコア:0)
どう読んでも
> SynapticsのすべてのOEMパートナーの製品
以外の意味はなく、HP限定なんてことは一切書かれてないんだが
一方、ロシアでは~メソッド (スコア:0)
いや、脆弱性を使えるなら、そんな限定的な環境を利用しないだろw
キーロガー機能を持つRATを送り込めば汎用的に攻撃ができるんだからさ
#脆弱性を突かれてる段階で色々とアウト
Re: (スコア:0)
PC上の実行ファイルをホワイトリスト形式で運用してもダメ的なトラップなのでそれとこれは別かと。
RATと違い、アンチウィルスに削除されない信頼できる正規バイナリ扱いだったので。
HP限定じゃない? (スコア:0)
こういうデバッグモード付きのドライバって、多くが出荷時のハード動作チェックの検査工程で使われる(自動でキーを打鍵してその通りに入力を認識しているか、とか)と考えられます。
なので、HP側が誤ってドライバを差し替えずにリリースしちゃったんではないかな?
Re: (スコア:0)
#3328449 でも書きましたが、
おそらくHPを含むPCベンダーはそもそもこの機能が存在することすら知らない
(だからそのままPCベンダー標準ドライバにしてエンドユーザに提供していた)
という流れだと思いますよ
Re: (スコア:0)
HP側が誤ってドライバを差し替えずにリリースしちゃったんではないかな?
その場合は普通デバッグ用ファイル名に「d」が入っていたりして
間違えないように管理されているもんですよねぇ
/*
リリース用と同一ファイル名扱うとか
どんだけ自分やスタッフを盲信しているのやら
*/
Re: (スコア:0)
さすがにありえない。 シナプはPCベンダーに正式版としてリリースし、PCベンダーはこれを採用するってだけ。
推測しやすい仕様になってるのがまずい (スコア:0)
トラブルシューティングのときこういう機能性が欲しいって思いは理解できるが
ぱっと見ただけで分からんいきに値変えて試してみる輩が俺の他に世界中に60億人は居るんだから
もっとウラワザ的な操作にしないとトラブルのもとになる…って昔の上司が言ってた
Re: (スコア:0)
それは昔の上司の昔の発想
ウラワザ的な操作にしてあったら、悪意を持って有害な機能を隠蔽していたという明白な証拠になる
裁判になったら絶対に勝てない
今はそんな余計なトラブルシューティング機能は量産出荷時に外しておかないといけない