Kliknąłeś w wilka brawo !

Ta historia zaczyna się miesiąc temu, kiedy Mohamed Hassan (MSIA, CISSP, CISA oraz założyciel NetSec Consulting Corp) kupuje nowego laptopa firmy Samsung (model R525).

W pierwszej kolejności postanawia go przeskanować pod kątem złośliwego oprogramowania. W katalogu c:windowsSL znajduje keyloggera StarLogger. KeyLogger ten nie tylko zapisuje wprowadzany przez użytkownika laptopa tekst, ale również potrafi robić screenshoty oraz wysyłać zebrane przez siebie dane na dowolny adres e-mail. Hassan usuwa keyloggera i zapomina o sprawie.

Po jakimś czasie laptop psuje się, więc Hassan postanawia go wymienić na nowszy model (R540) - ale na nim też znajduje tego samego keyloggera. 1 marca 2011 Hassan kontaktuje się z Samsungiem - pracownik działu pomocy najpierw wszystkiemu zaprzecza, potem zrzuca winę na Microsoft, aż w końcu przekazuje sprawę do swojego przełożonego, który przyznaje, że Samsung celowo umieścił keyloggera na produkowanych przez siebie laptopach aby - tu cytat - “monitorować wydajność urządzenia i móc dowiedzieć się, jak jest ono wykorzystywane“. Które modele są zainfekowane? Nie wiadomo.

Hassan nie zdradził jakim antywirusem znalazł tego keyloggera i generalnie mało danych udostępnił na jego temat - nie wiadomo nawet na których modelach/których partiach laptopów Samsung fabrycznie instaluje keyloggery (możliwe, że problem dotyczy tylko rynku amerykańskiego) - producent nie odpowiada na pytania serwisu NetworkWorld związane z tą sprawą. Redakcja NetworkWorlda doszukała się jednak tego wątku, w którym już rok temu opisano problemy związane z laptopami Samsunga podczas skanowania ich pod kątem złośliwego oprogramowania.

Nie Samsung pierwszy i nie ostatni...

Instalowanie ukrytego oprogramowania naruszającego bezpieczeństwo użytkownika oraz zbieranie danych bez jego zgody jest nielegalne - tak przynajmniej twierdzi amerykańska FTC.

Jeśli Samsung faktycznie fabrycznie zdecydował się na instalację złośliwego oprogramowania na swoich produktach, to nie będzie to pierwszy tego typu przypadek - kilka lat temu Sony umieściło rootkita na płytach CD... Powyższa historia kolejny raz pokazuje, że do tzw. bloatware’u, czyli (nie zawsze potrzebnego) oprogramowania, standardowo instalowanego na laptopach, trzeba podchodzić z ostrożnością. Ufanie systemowi, który ktoś inny zainstalował na naszym sprzęcie jest, delikatnie mówiąc, bardzo nieroztropne.

Podesłał Lev

Aktualizacja 31.03.2011 8:30

Okazuje się, że na telefonach Samsunga działających pod kontrolą Androida również można znaleźć dziwne oprogramowanie mogące zbierać i monitorować pracę telefonu (przynajmniej w sieci Sprint). Ale bez paniki, w domyślnej konfiguracji tej usługi logowanie jest wyłączone. Jak donoszą użytkownicy formum xda-developers, po usunięciu tego oprogramowania, telefony działają szybciej i zwiększa się ich czas pracy na baterii.

Aktualizacja 31.03.2011 8:56

Paul w komentarzu podsyła link do wpisu na stronie Samsunga. Firma twierdzi, że laptopy są bezpieczne, a przekonanie Mohameda Hassana o tym, że znalazł keyloggera jest błędne. Samsung tłumaczy, że Mahomed musiał skorzystać ze skanera antywirusowego VIPRE, który omyłkowo wziął katalog "SL" za należący do keyloggera, kiedy w istocie ma to być katalog wielojęzykowego wsparcia Microsoft’s Live Application. "SL" w tym przypadku ma być skrótem od Slovenia. Wygląda więc na to, ze dział supportu Samsunga, który w korespondencji z Hassanem przyznał się do instalacji keyloggera ("umieściliśmy go tam, żeby monitorować jak wykorzystywany jest laptop") najwyraźniej nie do końca orientuje się w sytuacji.

Ciekawe co Mahomed na to? Przypomnijmy, że do tej pory nie ujawnił on jakim antywirusem skanował system oraz nie przedstawił żadnych dowodów (zapisu ruchu sieciowego keyloggera, czy też próbek keyloggera). Redakcja PCW przetestowała swoje laptopy marki Samsung skanerem Symanteca i również nie znalazła śladów keyloggera. Wszystko wskazuje na to, że VIPRE (GFI/Sunbelt) dołączył do grona skanerów antywirusowych, które zaliczyły false-positive’a. Jego autorzy przepraszają i Hassana i Samsunga - a F-Secure potwierdza, że przeskanowanie pustego katalogu o nazwie SL przy pomocy VIPRE generuje fałszywy alarm.

Dwa pytanie pozostają bez odpowiedzi: dlaczego Samsung potwierdził instalację keyloggera w pierwszej rozmowie z Hassanem (pomyłka? chęć pozbycie się natręta?) oraz dlaczego posiadacz certyfikatu CISSP nie potrafi rozpoznać false-positive’a i nawet nie próbuje przeskanować “złośliwego” pliku więcej niż jednym antywirusem?