szukaj

23.02.2015 | 11:07

avatar

Adam Haertle

Kolejna wpadka Lenovo – mechanizmy keyloggera w laptopach ThinkPad

Po ogromnej wpadce z oprogramowaniem Superfish oferującym niechciane reklamy a przy okazji poważnie zagrażającym bezpieczeństwu użytkownika, Lenovo z kolei ma problem z pewnym programem w ThinkPadach.

Kilka dni temu w laptopach Lenovo odkryto poważny problem z bezpieczeństwem, który mógł zagrozić prywatności przeglądania bezpiecznych stron internetowych. Tym razem pracownicy polskiej firmy Prevenity natrafili na podejrzane funkcje innej aplikacji instalowanej domyślnie na laptopach ThinkPad.

Niedokończony keylogger

Na blogu Prevenity możemy przeczytać o ciekawej funkcji aplikacji USB Enhanced Performance Keyboard w wersji 2.0.1.9. Rejestruje ona wszystkie uderzenia klawiszy użytkowników. Aplikacja uruchamiana z klucza rejestru  HKLM\Software\Microsoft\Windows\CurrentVersion\Run ładuje bibliotekę SKHOOKS.DLL, która za pomocą funkcji SetWindowsHookExA() rejestruje procedurę przechwytującą, monitorującą zdarzenia  dotyczące klawiatury.

Funkcja przechwytująca naciśnięte klawisze

Funkcja przechwytująca naciśnięte klawisze

Należy tutaj podkreślić, że nie jest to w pełni funkcjonalny keylogger – aplikacja naciśnięcia klawiszy rejestruje i w formie kodów ASCII udostępnia poprzez funkcję API OutputDebugString(). Do pełnej funkcjonalności brakuje drugiego modułu, który odbierze generowane informacje i je utrwali. Nie znaleziono także śladów zapisu naciskanych klawiszy na dysku ani przesyłania ich za pośrednictwem sieci. Po co zatem taka funkcja w zainstalowanej na laptopie aplikacji?

Odpowiedź prawdopodobnie znajduje się w nazwie API. OutputDebugString w założeniu służy do przekazywania danych do debuggera. Funkcja ta wygląda na pozostawioną przez pomyłkę i mającą na celu wsparcie rozwiązywania problemów z aplikacją lub obsługiwaną przez nią klawiaturą. Aby odebrać rejestrowane przez nią znaki wystarczy użyć narzędzia DebugView z pakietu Sysinternals lub programu napisanego przez autora odkrycia.

Gdzie leży ryzyko?

Nie mamy powodu podejrzewać Lenovo o celowe pozostawienie ukrytych funkcji w aplikacji. Brak jakichkolwiek przesłanek wskazujących na złą wolę firmy. Jednak tak samo jak w przypadku aplikacji Superfish, ryzyko posiadania tej aplikacji na dysku nie wynika z niej samej, a z możliwych skutków ubocznych. Dysponując wiedzą o istnieniu funkcji rejestrującej klawisze przestępcy mogą w łatwy sposób stworzyć aplikację odbierającą udostępniane w ten sposób dane, nie zawierając w swoim złośliwym programie kodu monitorującego klawiaturę. W ten sposób złośliwa aplikacja może łatwiej uniknąć wykrycia przez mechanizmy analizy behawioralnej lub statycznej. Lenovo powinno było wyeliminować kod używany na etapie testów z aplikacji przekazywanej do wdrożenia produkcyjnego i niestety tego nie zrobiło.

Powrót

Komentarze

  • avatar
    2015.02.23 11:19 Limfocyt

    Niebezpiecznik napisze o tym za 3, 2, 1… Nie, dopiero wtedy gdy IgH was przeczyta ^^

    Odpowiedz
    • avatar
      2015.02.23 11:25 moro

      Masz jakiś kompleks czy po prostu wydaje ci się że jest jakaś konkurencją pomiędzy z3s i niebezpiecznikiem?

      Odpowiedz
      • avatar
        2015.02.23 12:36 misiou

        ze swoim wydziałem naukowo-technicznym, departamentem bezpieczeństwa, tysiącem pracowników etc, oni nie mają żadnej konkurencji. :DDD

        Odpowiedz
      • avatar
        2015.02.23 13:09 Limfocyt

        Po pierwsze, każdy ma jakiś kompleks, więc zadajesz pytania bez sensu. Po drugie, jeśli nie zauważyłeś tego schematu, możesz prześledzić godziny opublikowania starych postów. Po trzecie, Z3S nie ma żadnej konkurencji. Dlatego ją czytam. Prośba do redakcji o przepuszczenie mojego wazeliniarskiego wpisu ^^

        Odpowiedz
    • avatar
      2015.02.24 09:07 Piotr

      Nie rozumiem w czym problem.
      Nawet jeśli niebezpiecznik też o tym napisze to każdy ma swoją opinię która też jest wartościowa.

      z3s i niebezpiecznik to żadna konkurencja, jedynie co mogą robić to się wzajemnie uzupełniać.

      Odpowiedz
  • avatar
    2015.02.23 12:05 Andrzej

    „Nie mamy powodu podejrzewać Lenovo o celowe pozostawienie ukrytych funkcji w aplikacji.”

    Bo ich nie ma, to raz, a dwa przestępcy nie dysponowali taką wiedzą, no teraz o tym już wiedzą, ale to nic im nie da, nie bawią się takimi „duperelami”, mają poważniejsze swoje narzędzia hakerskie.

    Nie róbmy więc zamętu, bo to żaden poważny problem i po co to wyolbrzymiać?

    Odpowiedz
    • avatar
      2015.02.23 12:20 x

      „mają poważniejsze swoje narzędzia hakerskie.”

      LOIC? xD

      Odpowiedz
    • avatar
      2015.02.23 12:35 steppe

      Zakładanie, że przestępcy nie wiedzieli o tym problemie to zbytni optymizm. Niejedną grupę stać na własne poszukiwania podatności. Poza tym o niektórych z nich dowiadujemy się dopiero, gdy są już wykorzystywane np. w exploit kitach.

      Odpowiedz
      • avatar
        2015.02.24 22:46 aaa

        Przestępcy wiedzą wszyyyyyystkoooooo!

        Odpowiedz
    • avatar
      2015.02.25 22:34 Zibi

      …”a dwa przestępcy nie dysponowali taką wiedzą, no teraz o tym już wiedzą, ale to nic im nie da, nie bawią się takimi „duperelami”, mają poważniejsze swoje narzędzia hakerskie”…
      No chyba nie do końca, po co przestępca ma tworzyć cały system oprogramowania by się włamać???
      Przecież łatwiej i szybciej posłużyć się właśnie takimi błędami czy lukami, na tym to polega by wykorzystać to co mamy a nie tworzyć cuda.

      Odpowiedz
  • avatar
    2015.02.23 12:27 gustlik

    „mają poważniejsze swoje narzędzia hakerskie.”

    np. egrep

    Odpowiedz
    • avatar
      2015.02.23 16:06 steppe

      Niezłe. Tam mają jeszcze więcej argumentów :)

      Odpowiedz
  • avatar
    2015.02.23 23:34 Jacek

    Czy wy naprawdę myślicie, że firma tak wielka jak lenovo potrzebuje stosować takie sztuczki. Gdyby chcieli to mogą wszystko schować na poziomie sprzętowym.
    Używanie biblioteki było w celu uruchomienia nakładki pewnie dla ekranów dotykowych.
    Lenovo umieszcza pełno swoich wodotrysków by „żyło się łatwiej”, które cholernie zaśmiecają system.
    Nie zmienia to faktu, że ich produkty są jednymi z najlepszych na rynku pod względem niezawodności i funkcjonalności.

    Odpowiedz
  • avatar
    2015.02.26 10:09 Andrzej

    „Przecież łatwiej i szybciej posłużyć się właśnie takimi błędami czy lukami, na tym to polega by wykorzystać to co mamy a nie tworzyć cuda.”

    @zibi – jakie cuda, i system oprogramowania, to zbędne , wystarczy to:

    http://virusshow.info/ispy-keylogger-v3/

    …i tysiące innych…ten w Lenovo nie jest w pełni funkcjonalny keylooger, więc po co mają się główkować jak go „ulepszyć” i tracić czas, mają gotowe zestawy.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kolejna wpadka Lenovo – mechanizmy keyloggera w laptopach ThinkPad

Komentarze