Keyloggery to programy, które starają się (zazwyczaj z ukrycia), obserwować wprowadzane znaki z klawiatury i zapisywać je lub transmitować. Zazwyczaj służą zdobywaniu informacji w nieuczciwy sposób.
Programy tego typu można ściągnąć lub kupić, istnieją również implementacje sprzętowe - udające klawiatury lub pendrive’y. Czasami podaje się je jako „narzędzia administracyjne” - rzekomo potrzebne do odzyskiwania haseł użytkowników.
Czasami jednak funkcjonalność podobna do keyloggerów trafia do komercyjnego oprogramowania, powodując niepokój i zwątpienie w ucziwość producentów.
Szpieg w laptopach HP?
Dla przykładu, ostatnio dużym echem odbiło się odkrycie keyloggera w sterownikach do chipu audio produkcji firmy Conexant. To popularny chip, znajdujący się w wielu kartach dźwiękowych, w szczególności zintegrowanych na płycie głównej komputerów stacjonarnych i laptopów.
Pech chciał, że właśnie „zainfekowane” keyloggerem oprogramowanie trafiło do komputerów HP (wyposażonych właśnie w ten chip audio wyprodukowany przez Conexant). Co gorsza, oprogramowanie ma tą funkcjonalność co najmniej od 2015 roku.
Tym razem na pewno nie chodzi o próbę zdobycia np. haseł użytkowników. Jest to kiepsko wykonany interfejs logujący, który nasłuchuje na wciśnięcie przez użytkownika specjalnego klawisza aby wyciszyć mikrofon. Równocześnie zaś zapisuje wciśnięte przez niego klawisze do pliku c:\Users\Public\MicTray.log
I w tym właśnie tkwi główny problem w tym przypadku - każdy mający dostęp do c:\Users\Public (a więc każdy użytkownik posiadający konto na tym samym komputerze), może przeczytać informacje o tym, co wpisują inni użytkownicy.
Wpadka HP nie była pierwsza ani jedyna
Kilka lat temu - w roku 2011 - podobna afera wybuchła z powodu sterowników dołączonych do komputerów Samsunga. Było to StarLogger - nie tylko zapisujący klawisze ale i robiący zrzuty ekranów użytkownika w trakcie pracy. Był to PR-owy koszmar dla Samsunga - mimo że próbował z tego wyjść z twarzą, wskazując, że był to prawdopodobnie tzw. false positive programów antywirusowych. False positive to sytuacja, gdy niewinny fragment kodu ma te same charakterystyki, jakich poszukuje program antywirusowy.
Niedawnym podobnym skandalem okazały się warunki instalacji wersji Technical Preview systemu operacyjnego Windows 10. Aby otrzymać wcześniej system, użytkownik (który i tak robił przysługę firmie Microsoft, zgadzając się na testy), musiał dodatkowo zgodzić się na:
- zbieranie informacji o słowach wypowiadanych do usługi text-to-speech
- zbieranie informacji o otwieranych plikach (ich nazwie i zawartości)
- zbieranie informacji o… wprowadzanym tekście - konkretnie „we may collect typed characters” - czyli „możemy zbierać wprowadzane znaki”
Choć teoretycznie miało to zacne podstawy - zdobyte informacje miały posłużyć do usprawnienia sprawdzania pisowni - to wśród świadomych technicznie użytkowników podniósł się alarm.
Na szczęście większość tego typu przypadków - przedostania się keyloggerów do komercyjnego oprogramowania - to przypadki niedopatrzenia lub krótkowzroczności programistów. Prawdziwe zagrożenie grozi nam raczej ze strony tych, których informacje, jakie wpisujemy (hasła czy numery kart kredytowych) naprawdę interesują.
Skąd się biorą keyloggery w pozornie niewinnym oprogramowaniu?