中华网数码

数码
设为书签Ctrl+D将本页面保存为书签,全面了解最新资讯,方便快捷。
业 界/ 互联网/ 行 业/ 通 信/ 数 码/ 手 机/ 平 板/ 笔记本/ 相 机
当前位置: 数码 > 笔记本 >

中国惠普低调处理安全漏洞

中国惠普低调处理安全漏洞
2017-07-18 14:52:43 来源:新浪综合

“你有惠普笔记本吗?如果有,停下你手上所有事听我说,你在惠普笔记本上每一个敲击记录正在被悄悄记录。”IT分析师Swati Khandelwal 两个月写下这段警示的时候,或许没想到中国消费者两个月后对这一潜在威胁依旧懵然不知。

近日,中国某部委统计信息部下发了《网络与信息安全风险通报》(以下简称“通报”),披露了惠普电脑音频驱动被发现存在隐藏键盘记录器,用户所有的按键记录均被监控,并明文存储至文本文件。

沉寂了2个月的惠普电脑记录用户键盘事件再次被推上了风口浪尖,用户隐私安全在硬件关口上遭遇史上最严峻的考验。

电脑键盘信息被偷偷记录

今年5月,瑞士安全公司Modzero的研究人员在检查Windows Active Domain的基础设施时发现惠普声卡音频驱动中存在一个内置键盘记录器,监控用户的所有按键输入。

根据公开资料,发现问题的声卡驱动包为Conexant(科胜讯)提供,科胜讯系统公司是全球知名的通信电子半导体独立研发厂商,提供音频芯片给PC厂商惠普、戴尔、Thinkpad等。笔记本有很多快捷键,这些快捷键对按键的识别、响应都是由硬件厂商编写的驱动来实现,为了测试快捷键的有效性,通常在调试的时候会在日志里记录所有的按键动作。“如果发布的正式版驱动中还留存这些调试信息就会造成安全隐患,导致用户的按键记录被日志文件留存。”360安全专家安扬在接受《IT时报》记者采访时表示,通过键盘输入的信息,会被记录在本地日志里,如果设备已经感染木马,而木马去窃取这个日志文件,就会造成键盘输入信息泄露。

换句话说,在恶意情况下,因为有了这个“监视器”的存在,用户在电脑上输入的一切信息,包括账户信息、信用卡卡号、聊天记录、密码等敏感信息都有可能被泄露。

5月份海外媒体公布这一漏洞时,在国内安全圈内引发了一场不小的地震,不少安全厂商进行跟踪分析。然而国内很多惠普消费者并不清楚这样的键盘记录会给自己的隐私带来什么威胁。《IT时报》记者采访多位惠普电脑用户,均表示没听说过这件事,也没想过更新驱动。

“惠普此次出现的漏洞属于高危漏洞,消费端没什么反应主要原因是还没有具体恶性案例出现。”一位资深安全人士如是分析。

漏洞通知“隐藏”很深

今年6月1日起正式实施的中国《网络安全法》第二十二条规定:网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

“这是产品缺陷造成的安全隐患,”安扬表示,在特定情况下,惠普键盘记录器的漏洞会对用户造成严重危害。但在惠普的中国官网首页,《IT时报》记者并没有发现对此事件有任何的官方声明,也没有在“惠普技术支持”页面明显位置找到针对此次漏洞的补丁程序。

根据Modzero的报告,这个键盘记录器至少在2015年圣诞节前已经存在于惠普电脑上。2015年,该键盘记录功能以新的诊断功能被引入HP音频驱动程序与新的1.0.0.46版本中,报告指出,30款惠普笔记本受到影响,包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等。

于是,记者随机挑选了一款被影响的笔记本电脑型号——EliteBook Folio G1进行搜索,此时网站才跳出一条提醒,“某些版本的 Conexant HD 音频驱动程序已在某些HP产品上识别出潜在的安全漏洞。请检查您的电脑是否受影响,并下载软件修复。” 同时跳出一篇“SUPPORT COMMUNICATION(支持沟通)- 安全公告”,根据这篇公告,该漏洞所涉及的电脑不止此前Modzero提到的30余款笔记本电脑,而是有104个型号,包括惠普商用笔记本电脑、商用台式机电脑和消费类笔记本电脑。

从公告内容可以看出,这篇公告发布于2017年5月15日,2017年7月10日更新,这两个时间节点恰恰都在此事件两度被中国媒体曝光之后数天。7月13日,《IT时报》记者打开惠普美国网站,在同样一篇针对EliteBook Folio G1 键盘记录漏洞的公告中,发布日期是5月12日,而更新日期是6月22日。

根据瑞士安全公司的声明,他们在4月28日发现了这个问题,但惠普和科胜讯都没有回应。5月11日,Modzero发布白皮书公开此事。5月12日,惠普发布了一封名为“HP : Modzero report on keylogger issue(惠普:Modzero关于键盘记录器问题的报告)”的简短声明。

中国惠普的客服告诉《IT时报》记者,这个补丁程序需要客户自己下载并安装运行。当记者询问是否惠普会主动推送补丁程序时,客服只是说,可以直接给记者邮箱发下载链接。不过在惠普此前的英文声明中表示,个人用户可以通过Windows的自动更新进行修复,由IT团队管理的企业用户,可以通过标准化工具进行部署。但记者并没有找到这封声明的中文版。

关键词: 惠普 安全漏洞 中国

责任编辑:kj005

文章投诉热线:156 0057 2229  投诉邮箱:29132 36@qq.com
上一页 1 2 下一页 共 2 页
关键词:

个保法颁布一周年:个性化广告发展需平衡隐私保护与用户体验

2022-11-14 11:53:20个保法颁布一周年:个性化广告发展需平衡隐私保护与用户体验

2022年全球折叠手机总销量将首度超过千万部大关

2022-02-09 11:40:212022年全球折叠手机总销量将首度超过千万部大关

印度市场智能手机出货量出炉:vivo占比排名第三

2022-02-08 11:19:13印度市场智能手机出货量出炉:vivo占比排名第三

平板电脑进入新的竞争阶段 重新夺回市场主导权

2022-02-07 16:52:08平板电脑进入新的竞争阶段 重新夺回市场主导权

2021年四季度中国手机市场苹果占有率位居第一

2022-01-27 13:33:342021年四季度中国手机市场苹果占有率位居第一

预测2022年中国市场智能机销量达3.4亿部 同比增长8%

2022-01-26 14:57:26预测2022年中国市场智能机销量达3.4亿部 同比增长8%

相关新闻