当前位置:数码 > 笔记本 > 正文

中国惠普低调处理安全漏洞

2017-07-18 14:52:43       来源:新浪综合

“你有惠普笔记本吗?如果有,停下你手上所有事听我说,你在惠普笔记本上每一个敲击记录正在被悄悄记录。”IT分析师Swati Khandelwal 两个月写下这段警示的时候,或许没想到中国消费者两个月后对这一潜在威胁依旧懵然不知。

近日,中国某部委统计信息部下发了《网络与信息安全风险通报》(以下简称“通报”),披露了惠普电脑音频驱动被发现存在隐藏键盘记录器,用户所有的按键记录均被监控,并明文存储至文本文件。

沉寂了2个月的惠普电脑记录用户键盘事件再次被推上了风口浪尖,用户隐私安全在硬件关口上遭遇史上最严峻的考验。

电脑键盘信息被偷偷记录

今年5月,瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普声卡音频驱动中存在一个内置键盘记录器,监控用户的所有按键输入。

根据公开资料,发现问题的声卡驱动包为Conexant(科胜讯)提供,科胜讯系统公司是全球知名的通信电子半导体独立研发厂商,提供音频芯片给PC厂商惠普、戴尔、Thinkpad等。笔记本有很多快捷键,这些快捷键对按键的识别、响应都是由硬件厂商编写的驱动来实现,为了测试快捷键的有效性,通常在调试的时候会在日志里记录所有的按键动作。“如果发布的正式版驱动中还留存这些调试信息就会造成安全隐患,导致用户的按键记录被日志文件留存。”360安全专家安扬在接受《IT时报》记者采访时表示,通过键盘输入的信息,会被记录在本地日志里,如果设备已经感染木马,而木马去窃取这个日志文件,就会造成键盘输入信息泄露。

换句话说,在恶意情况下,因为有了这个“监视器”的存在,用户在电脑上输入的一切信息,包括账户信息、信用卡卡号、聊天记录、密码等敏感信息都有可能被泄露。

5月份海外媒体公布这一漏洞时,在国内安全圈内引发了一场不小的地震,不少安全厂商进行跟踪分析。然而国内很多惠普消费者并不清楚这样的键盘记录会给自己的隐私带来什么威胁。《IT时报》记者采访多位惠普电脑用户,均表示没听说过这件事,也没想过更新驱动。

“惠普此次出现的漏洞属于高危漏洞,消费端没什么反应主要原因是还没有具体恶性案例出现。”一位资深安全人士如是分析。

漏洞通知“隐藏”很深

今年6月1日起正式实施的中国《网络安全法》第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

“这是产品缺陷造成的安全隐患,”安扬表示,在特定情况下,惠普键盘记录器的漏洞会对用户造成严重危害。但在惠普的中国官网首页,《IT时报》记者并没有发现对此事件有任何的官方声明,也没有在“惠普技术支持”页面明显位置找到针对此次漏洞的补丁程序。

根据Modzero的报告,这个键盘记录器至少在2015年圣诞节前已经存在于惠普电脑上。2015年,该键盘记录功能以新的诊断功能被引入HP音频驱动程序与新的1.0.0.46版本中,报告指出,30款惠普笔记本受到影响,包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等。

于是,记者随机挑选了一款被影响的笔记本电脑型号——EliteBook Folio G1进行搜索,此时网站才跳出一条提醒,“某些版本的 Conexant HD 音频驱动程序已在某些HP产品上识别出潜在的安全漏洞。请检查您的电脑是否受影响,并下载软件修复。” 同时跳出一篇“SUPPORT COMMUNICATION(支持沟通)- 安全公告”,根据这篇公告,该漏洞所涉及的电脑不止此前Modzero提到的30余款笔记本电脑,而是有104个型号,包括惠普商用笔记本电脑、商用台式机电脑和消费类笔记本电脑。

从公告内容可以看出,这篇公告发布于2017年5月15日,2017年7月10日更新,这两个时间节点恰恰都在此事件两度被中国媒体曝光之后数天。7月13日,《IT时报》记者打开惠普美国网站,在同样一篇针对EliteBook Folio G1 键盘记录漏洞的公告中,发布日期是5月12日,而更新日期是6月22日。

根据瑞士安全公司的声明,他们在4月28日发现了这个问题,但惠普和科胜讯都没有回应。5月11日,Modzero发布白皮书公开此事。5月12日,惠普发布了一封名为“HP : Modzero report on keylogger issue(惠普:Modzero关于键盘记录器问题的报告)”的简短声明。

中国惠普的客服告诉《IT时报》记者,这个补丁程序需要客户自己下载并安装运行。当记者询问是否惠普会主动推送补丁程序时,客服只是说,可以直接给记者邮箱发下载链接。不过在惠普此前的英文声明中表示,个人用户可以通过Windows的自动更新进行修复,由IT团队管理的企业用户,可以通过标准化工具进行部署。但记者并没有找到这封声明的中文版。

上一页 1 2 下一页 共 2 页

科学 猎奇 娱乐 游戏 汽车 手游 金融 家居

新闻频道
国内国际社会评论文史专题经济新闻图库老照片
军事频道
军事要闻中国军情国际军情军事历史网友原创军事专题军事图库武器装备军事文化
汽车频道
车闻Update漫话车型漫记车映像实拍解析行业动态新车资讯独家评测汽车生活人文之旅
教育频道
留学移民高考中小学拒讲堂师说商道商论
游戏频道
游点意思网络游戏网页游戏单机游戏手机游戏军事游戏游戏产业发号中心游戏美女图说游戏囧游囧事
科技频道
业界互联网行业通信数码手机平板IT硬件相机笔记本家电产品库
旅游频道
X旅行视界目的地 美图发现社区
文化频道
专题非遗沙龙历史艺文博览读书图库书画禅文化
书画频道
资讯收藏展览在线展厅艺术家视觉专题
体育频道
国际足球中国足球NBACBA 综合体育图片汇总专题策划
视频频道
新闻军事中华出品原创娱乐纪录片微电影决胜海陆空
娱乐频道
明星电影电视音乐专题图库论坛
公益频道
老兵出镜老兵动态老兵资料库关爱老兵在行动公益组织公益人物
城市频道
城市聚焦城市设计城市生活城市策划城 市图赏城市加盟城市论坛
社区频道
中华论坛网上谈兵中华拍客社会时政国际风云生活消费休闲旅游美丽女人娱乐八卦经济风云情感世界文学天地
好医生频道
保健养生疾病防治行业资讯名医谈健康 医生专栏食疗跑步
经济频道
国内宏观海外经济产经商贸时尚消费电商眼球儿企业故事专栏评说识局经济