Mit einem offenen Statement wandte sich Hewlett Packard nach dem Bericht über eine auf HP-Notebooks vorinstallierte Keylogger-Software an heise Security: "Diese Software hätte nicht in der final an die Kunden ausgelieferten Version enthalten sein dürfen", räumt das Unternehmen ein. Die Ursache ist eine interne Prüffunktion: "Unser Lieferant hat eine Software entwickelt, um die Audio-Funktionalität vor der Auslieferung der Produkte an Kunden zu testen."

Kein Zugang zu Kundendaten

Das Unternehmen vespricht, kurzfristig "eine Lösung zur Behebung" auf seiner Website anzubieten. Zugang zu Kundendaten erhält das Unternehmen durch den Keylogger nach eigenen Angaben nicht. Das ist nach derzeitigem Kenntnisstand plausibel, allerdings stellt die unerwartete Tastaturüberwachung des Audio-Treibers dennoch ein ersthaftes Datenschutz- und Sicherheitsrisiko für die betroffenen Kunden dar: Der Treiber schreibt alle Tastatureingaben in die Datei C:\Users\Public\MicTray.log, die öffentlich lesbar ist. Ältere Versionen des Treibers loggen die Eingaben über die Windows-Debug-API.

Andere Prozesse können diese Datenquellen mühelos anzapfen. So kann zum Beispiel ein Trojaner die Tastatureingaben abgreifen, ohne selbst die Tastatur belauschen zu müssen. Das senkt etwa das Risiko, von der Verhaltsüberwachung einer Virenschutzsoftware entdeckt zu werden. Auch andere Nutzer des Rechners können durch die Mitschnitte potenziell an geheime Informationen wie Passwörter gelangen.

Sofort-Schutz durch Komfortverlust

Der gefährliche Prozess heißt MicTray64.exe und ist ab Werk auf HP-Notebooks der Serien EliteBook, ProBook, Elite x2 und ZBook installiert. Die Version 1.0.0.46 speichert Tastatureingaben in der oben genannten Log-Datei, mit Version 1.0.0.31 landen die Tastendrücke in den Debug-Logs von Windows.

Bis HP das Problem in den Griff bekommt, kann man sich behelfen, indem man die Datei MicTray64.exe entfernt. Dann funktionieren allerdings die Hotkeys der Tastatur nicht mehr. Weitere Details zu dem Sicherheitsproblem finden Sie im Security Advisory von Thorsten Schröder (modzero). Er hat das Problem Ende vergagenen Monats entdeckt und kürzlich öffentlich gemacht. Teil des Advisorys ist eine Liste der betroffenen Geräte. (rei)