逾400款HP笔电含有键盘侧录臭虫，HP紧急修补

资安研究人员Michael Myng上周揭露，HP笔电中含有一键盘侧录臭虫，波及逾400款HP笔电，结果是HP除错时所使用的工具，只是忘了将它移除，目前多数装置已修补完成。

这是Myng在无意间发现的，他说有人问他如何控制HP笔电的键盘背光功能，传给他HP笔电的SynTP.sys键盘驱动程式，开启之后他发现当中含有奇怪的字串，细究之后竟是键盘侧录功能。

SynTP.sys是由人机界面制造商Synaptics所撰写的驱动程式，并被预装在HP的笔电中，Myng找到的键盘侧录工具可用来纪录使用者所键入的所有资料，从账号、密码到信用卡资讯等，虽然该工具在SynTP.sys中的预设值是关闭的，但只要设定一个登录值便能启用它，且坊间有众多的开源工具能够绕过UAC提示以于变更登录值时不被察觉。

Myng说，当他通知HP时，HP马上就回应了，承认该键盘侧录工具的存在，但说它其实是个臭虫追踪工具，并迅速释出更新移除了该工具。

今年5月HP也曾发生类似的事件，只不过当时出问题的是音效驱动程式，同样内含键盘侧录程式。

HP则说，这是藏匿于Synaptics触控板驱动程式某些版本中的安全漏洞，影响Synaptics所有的OEM合作伙伴，要开采该漏洞必须取得管理权限才行，不论是Synaptics或HP都未借由该漏洞存取客户资料。