Volgens mij zijn het keiharde leugenaars daar bij HP! Het is zogenaamd debugging code die onbedoeld is achtergebleven.
Maar al hun drivers bevatten dit soort code en dat kan nooit onbedoeld zijn, immers is deze code ook niet verwijderd nadat
ze er eerder op attent waren gemaakt:

https://www.security.nl/posting/514367/Onderzoekers+ontdekken+keylogger+in+HP-audiodriver
https://www.security.nl/posting/514504/HP+komt+met+oplossing+voor+keylogger+in+audiodriver

Déjà vu:
https://www.security.nl/posting/514504/HP+komt+met+oplossing+voor+keylogger+in+audiodriver

Een keylogger in een touchpad driver? Die niet alleen door HP wordt gebruikt, zeker?
Het lijkt wel of spionagefaciliteiten zo uitgebreid in alle hardware zijn toegevoegd de afgelopen jaren, dat een situatie van rechteloosheid voor consumenten allang is bereikt.

Leugenaars, of gewoon personen die fouten maken?
Aan de andere kant, ze reageerde snel en adequaat. Daar kunnen ook veel leveranciers weer wat van leren. Ze moffelen het niet weg.

In 2 drivers hebben ze dit inderdaad geconfigureerd. Maar om daarmee alle drivers te zo te bestempelen....

Maar slordig is het wel....

en dan herhaal ik hier wat ik toen daarbij schreef:
Wil niet te veel zeiken, maar dit is dus typisch een voorbeeld van troep in de code die in een behoorlijke open source distributie (Debian, RedHat, Suse enz.) niet de eindstreep had gehaald.

Iemand al ervaring met het installeren van de update?
Al een aantal maal geprobeerd, maar ik steeds maar een gedeelte van het - op mijn laptop van toepassing zijnde - bestand gedownload (dan weer 20 dan weer 60 Mb van de 154).
Bij het uitvoeren krijg ik vervolgens de melding dat het bestand corrupt is....

John McAfee heeft al lang aangegeven, dat printercode zwak beveiligd is
en het de preferente manier is om binnen een bedrijfsomgeving te spioneren
via toegevoegde malware (c.q.bij voorbeeld gemaipuleerde downloads).

IoT gaat ons wat dat betreft nog eens heel hard opbreken.
"IoT = the royal way into your local network".

In hoeverre de grotere tech bedrijven gedwongen worden "under gag order" met de Amerikaanse overheidssp**ks
samen te werken, ergo een oogje dicht te knijpen, alles onder het mom van Homeland Security,
zal wel niet gauw bekend raken.

Zie hoe ver het "in de gaten houden" van alles en iedereen op de achtergrond al usance is,
zonder dat de grote massa van de omvang en aard volledig op de hoogte is,
al heeft men, als het goed is, al wel de nodige argwaan.

Jodocus Oyevaer

Zijn van die dingen die ze waarschijnlijk uitbesteden en zelf nauwelijks meer naar kijken.
Ik weet nog van de eerste HP Pavilions die ergens bij het begin van deze eeuw uitkwamen.
Zat een keyboard bij die was aangekocht bij een derde partij met een driver voor de instelbare extra knoppen.
Bleek die driver om de zoveel seconden het netwerk te pollen om het "connected" ledje op het keybooard te besturen.
Maar je denkt in eerste instantie WHAAAAAAT??? Wordt er terug naar huis gebeld??? Wat gaat er over de lijn dan?
En grote kantoren met heel veel van die PC's kregen te maken met extra netwerkbelasting.
(de netwerken waren in die tijd nog niet zo snel) Na een tijdke is er een nieuwe driver voor gekomen die niet meer het netwerk polt, maar dan doet het "connected" ledje het dus niet.

Maar hoe dan ook: dit kwam dus ook inclusief driver bij een derde partij vandaan.
Audio chips zullen ze vermoedelijk ook niet maken bij HP, dus ik vermoed dat de kwetsbaarheid in die driver
ook derde partij werk was. Uiteindelijk ontwerpt een PC-maker als HP net als alle anderen ook maar uit bestaande onderdelen van derde partijen een PC, maar de ondersteuning daarvan is natuurlijk ook heel belangrijk en dat doen ze goed. En vaak zit er toch ook nog wel iets "HP-eigens" in.

Van de Sint een nieuw laptop gekregen, een HP met nu blijkt een keylogger :-(

Gelukkig voor gebruik alle HP en Windows software vervangen door Linux :-)

Keyboard driver ?!? Die zijn helemaal niet nodig...

Whoooeeeee, 154MB voor een device driver voor een touchpad!!!
God mag weten wat daar nog meer voor ongewenste functionaliteit cq malware in verstopt zit...

HP heeft standaard biosspyware geactiveerd.

Goh als je nu eens aan die belofte zou houden: "Wil niet te veel zeiken" open source ach wat daar al niet fout gaat. IOT

De drivers staan zelfs op mijn Dell laptop. Het is ongelooflijk... Altijd met excuses dat het voor "debugging" is en om de ervaring te "verbeteren". Jongens wanneer breekt de tijd aan dat wij allemaal aan een open source besturingssysteem gaan beginnen en allemaal ons steentje bijdragen om dit soort espionage te voorkomen??????

IoT heeft niets met open source te maken! Of zijn die IoT-applicaties open source? Nee, het is het onderliggende gebruikte besturingssysteem wat open source is. Desondanks weten IoT-fabrikanten het vaak grondig te verkloten omdat ze voor een dubbeltje op de eerste rang willen zitten en vaak zelfs niet de moeite nemen om sensible defaults in te stellen. Laat staan een update mechanisme. Kortom: niet open source, niet Linux zijn hier schuldig maar luie fabrikanten. Stel je eens voor dat diezelfde fabrikanten gebruik hadden gemaakt van Windows! Dat zou pas echt erg zijn geweest!

Als de afdeling inkoop niet eens kijkt wat ze eigenlijk inkopen hoe kan er dan ooit een goed product van worden gebouwd?
Of doet men dat altijd op deze manier? (eerst mis laten gaan en dan aan een "derde partij" verwijten en maar weer
een oplossing verzinnen die vervolgens op de notoir onbetrouwbare HP downloadsites wordt gezet?)
(zie boven, maar ik ken dat probleem ook bij andere hp downloads voor firmware enzo)

Je denkt serieus dat een afdeling inkoop hier iets van begrijpt?
Bedrijven die ik heb gezien zijn dat nou niet echt techneuten.

Het ging om code die eigenlijk bedoeld was voor het debuggen van de driver en was achtergebleven.

Indien je als bedrijf zo incompetent bent dat je drie keer met een soort vergelijkbare code geconfronteerd wordt dan verdien je het gewoon niet om nog maar één computer te kunnen verkopen.

Voor het debuggen van een driver is een keylogger nodig, werkelijk ?


Er valt ook weinig meer weg te moffelen, nadat zoiets bekend is geworden. Moeten ze nu een pluim krijgen voor het verwijderen van deze keylogger ?

Want in een open source OS kan zoiets niet gebeuren ? Dream on. Het feit dat je de honderden miljoenen regels code van een OS *kan* reviewen, wil niet zeggen dat alles gereviewed wordt, en dat daardoor iedere mogelijke bedreiging boven water komt. Het is wel grappig hoe sommigen denken dat bijvoorbeeld ''open source'' een synoniem is voor ''veilig''.

Da's niet alleen de driver. Als je HP printer software installeert, ben je ook aardig wat MB's kwijt. Waarvan misschien 1% de driver betreft.

Herhaaldelijk keyloggers inbouwen, en uitleveren in je produkten, foutje ? Ben benieuwd hoe men had gereageert op deze kwestie indien het bedrijf Russisch of Chinees was geweest. Indien Amerikanen je iets leveren met een keylogger, dan is dat met de beste bedoelingen ?

Zeker weten dat dit helpt?

Ja dit helpt want Linux heeft een keyboard driver standaard aan boord voor elk merk/type keyboard, open source dus geheel controleerbaar. Linux heeft ook geen enkel belang bij telemetrie want er zit geen commercie achter.

Overigens begrijp ik niet waarom je niet gewoon de Windows 10 keyboard driver kan gebruiken. Elke laptop heeft toch ongeveer hetzelfde type keyboard? Ben je van HP telemetrie af, hou je alleen Microsoft telemetrie over ;-)

Dacht ik ook, W10 heeft er toch één? Wat is er zo bijzonder aan een HP keyboard?

Nee maar de kans daarop wordt wel kleiner en bij problemen kan iedereen meteen meedenken en bijdragen.


Dat niet maar het is wel een synoniem voor veiliger.

20-25% is een betere vergelijking.... Maar hangt er heel er vanaf welke printer je hebt.

Windows tegenwoordig ook. Maar touchpads zijn toch net weer even iets anders.


Als je de HP security bulletin lees, zie je het dat het de touchpad driver het issue bevat...
HPSBHF03564 rev 1 - Synaptics Touchpad Driver Potential, Local Loss of Confidentiality

Helemaal is het interessant:
Dit zou betekenen dat het geen HP probleem is, maar een Synaptics driver issue. De vraag is dus eigenlijk heeft HP de driver aangepast, of heeft de leverancier gewoon een bugje gehad waarbij het issue dus niet alleen op HP aanwezig is.

Nou als je zelf laptops ontwerpt en fabriceert dan heb je wel een afdeling inkoop nodig die er iets van begrijpt hoor!
Als je de hele laptop inkoopt en er alleen een stickertje op plakt is dat iets minder nodig, maar ik wist niet dat HP al
naar dat nivo was afgegleden...

Dat zei ik al. Het is veel voor de driver en er is ontzettend veel plek voor allerlei andere malware.
Dit is overigens tevens de reden dat je nooit een printer van HP moet kopen! Of ander randapparaat zoals scanner ofzo.
Je krijgt een berg software die hardstikke traag is en je afhankelijk maakt van Windows of zelfs van Microsoft technieken
die je niet wilt zoals Active-X.

Niet voor veiliger (ook al is in de praktijk de gemiddelde open source Linux distro veiliger dan een closed source distro als W10) maar wel voor transparanter.

Veel open source projecten zijn niet commercieel dus hebben geen enkel belang bij telemetrie, hoogstens het doorsturen van foutmeldingen.

Ik heb een HP Smart all in one printer die prima werkt op Linux Mint met de open source hpcups driver. Geheel transparant en vertraagt je systeem niet. Enige reden dat ik 'm niet meer zou kopen is de absurd hoge inktprijs. Ik laat de originele cartridges nu maar bijvullen, dat scheelt weer iets.

Als je met Windows blijft werken zul je nooit van dit soort ellende afkomen.

Misschien helpt dit:

Windows 10 Firewall Control (Sphinx software), werkt op alle W versies
en
KeyScrambler (QFX Software) Premium installeren.

Valt wel mee hoor. Gewoon native driver alleen downloaden en je bent klaar. Is bijna voor iedere printer beschikbaar is mij ervaring. Krijg je al die troep er niet bij. Je kunt dus vrij gemakkelijk van dit soort ellende afkomen, zonder dat je hoeft te switchen van OS, en bespaar je de meeste gebruikers een hoop problemen.

Is het niet een stuk gemakkelijker om gewoon de geupdate driver te installeren?
Een misschien om zomaar software te installeren is vaak geen goed idee. Zeker niet omdat de gemiddelde gebruiker totaal geen kennis heeft van Computers.

Mee eens, alleen krijgen Ingrid en Henk vanaf de fabriek bloatware en niet native drivers. En ze beseffen dat echt niet.
Bij Linux heb je die ellende standaard niet.

Ik ben van plan een laptop te kopen, hoe zit het dus met die andere merken? Ik zal helaas moeten kiezen uit Asus of acer omdat ze geen andere merken buiten hp hebben in de winkel in mijn buurt. Kan ik beter geen van beide nemen en het bestellen via internet?

De laatste versie van KeyScrambler heeft bij de laatste versie van Windows 10 een probleem. Daar zijn op internet ook meldingen over te vinden.
Hitmanpro alert (heeft ook een keyboard scrambler) heeft sinds kort ook een probleem met de laatste browser-versies.

Groeten

Het ging om code die eigenlijk bedoeld was voor het debuggen van de driver en was achtergebleven

Nog erger, betekend toch gewoon dat ze daar prutsers hebben zitten op de software ontwikkel afdeling. Het wordt tijd dat er Europese regels komen en boetes voor dit soort fouten. Want het lijkt voor het gros van de bedrijfen allemaal niet erg belangrijk, iets kwalitatiefs uit te leveren.

In het verleden Acers gezien die ook vol bloatware geleverd werden. Ik zou voor Asus gaan, niet bloatware vrij maar het valt mee. Bedenk wel dat je altijd 2 jaar garantie hebt op hardware, welke versie W10 je ook draait. Ik zou 'm na installatie via de Media Creation Tool overschrijven met een schone W10 direct van Microsoft. Je hebt een geldige licentie.

Correct. Maar Henk en Ingrid werken meestal niet op Linux. Daar snappen ze helemaal niets van, hun applicaties doen het er meestal niet op.


Lenovo? Dell? Beide hebben goede en nette laptops.
Maar waarom zou je Asus of Acer nemen en niet HP?

Juist dat soort mensen heeft baat bij Linux! Indien ze het laten installeren en instellen door een kennisje met kennis van zaken dan hebben ze er daarna geen omkijken meer naar. Vergelijk dat eens met wat je tegenwoordig moet weten en uithalen om Windows in te stellen en te updaten. En, belangrijker nog, wat je daarin kan verkloten!

Met linux kan je zo mogelijk nog meer verkloten. Kijk alleen Hoe de professionele ict linux verloot met iot.

Toch lachen met die linux adepten.
Zitten schreeuwen dat Henk en Ingrid met Windows te afhankelijk zijn van het buurjongetje waardoor is in de soep loopt om vervolgens te adviseren dst dat buurjongetje een ander os op die machine moet zetten. Het lost niets op hei is het zelfde waar het nog steeds fout gaat.


Ik zag ook zo'n stuk over limux naar Windows. Dat zal vast fout gaan want van Windows naar Linux ging ook niet goed.

Heb je enig idee hoe IoT eruit zou zien als die nalatige fabrikanten voor Windows hadden gekozen? Met al die malware in the wild. Dat zou echt niet best zijn nietwaar?