你有惠普笔记本电脑吗？如果有，那么赶紧停下来任何正在做的事情，认真阅读这篇文章：因为你的惠普笔记本电脑可能正在静默记录下你在键盘中输入的所有内容。

在检查Windows Active Domain基础架构时，来自瑞士安全公司Modzero的安全研究人员在惠普音频驱动程序中发现了一个内置的键盘记录器，可以窥探用户的所有按键输入信息。

键盘记录器是通过监视用户在键盘中按下的每一个按键来记录所有的按键信息。通常，恶意软件和木马会使用这种功能来窃取用户的账户信息、银行卡号、密码以及其他私人数据等。

惠普笔记本采用集成电路制造商Conexant开发的音频芯片，这家制造商也为音频芯片开发驱动程序，名为“Conexant High-Definition (HD) Audio Driver”，该驱动程序可以帮助软件与硬件进行通信。

根据计算机型号，惠普还会在Conexant开发的音频驱动中加入一些代码，从而监听特殊键，例如键盘上提供的Media键。

键盘记录器已经安装在HP音频驱动程序中

据研究人员介绍，由惠普编写的缺陷代码（CVE-2017-8360）不仅能够捕获特殊键，而且可以记录每一个按键，并将它们存储在电脑上，可以随便查看。

记录文件位于公共文件夹C:UsersPublicMicTray.log中，其中包含许多敏感信息，如用户的登录数据和密码，这些信息可以被计算机上安装的任何用户或第三方应用程序访问。

因此，安装到计算机上的恶意软件，甚至是能物理访问计算机的人员，都可以复制日志文件并访问所有的键盘记录信息、提取敏感数据，如银行详细信息、密码、聊天记录以及源代码等。

Modzero研究人员询问惠普公司，

“音频驱动程序中植入键盘记录器的意义是什么？HP是否交付预装的间谍软件？惠普本身是否是后门软件（第三方供应商代表惠普开发的后门软件）的受害者？”

2015年，该键盘记录功能以新的诊断功能被引入HP音频驱动程序与新的1.0.0.46版本中，自此，近30款不同的惠普Windows笔记本机型上都内置了这种功能。

受影响的型号包括HP Elitebook 800系列、EliteBook Folio G1、HP ProBook 600和400系列等等。详细名单如下所示：

研究人员还警告称，“可能其它配置了Conexant硬件和驱动程序的硬件供应商”也会受此安全问题影响。

如何检测自身设备是否受到影响？以及如何防范？

如果你的系统中存在以下两个文件中的任何一个，那么你的计算机设备上就存在该键盘记录器：

C:\Windows\System32\MicTray64.exe

C:\Windows\System32\MicTray.exe

如果你的系统中存在上述任何一个文件，那么Modzero安全研究人员建议你删除或重命名上述的可执行文件，以防止音频驱动程序收集你的按键信息。

研究人员警告称，

“虽然每次登录后文件都会被覆盖，但是你的按键内容可以很轻松地被运行的进程或取证工具监视，如果你定期对硬盘（包括云端和外部硬盘驱动）进行增量备份，那么过去几年的所有按键记录都可能在你的备份中找到。”

所以，如果你定期备份包含上述公共文件夹的硬盘驱动的话，那么包含敏感数据的键盘记录文件也会存在其中，且以纯文本的形式显示，任何人都可以访问查看。所以也要记得删除该键盘记录文件。