Общение
А знаете ли Вы, что..
Aleksandrl (off) Moderator [9447]
1 апреля 2011, 06:28
На ноутбуках Samsung обнаружен кейлоггер, установленный производителем.
Все мы помним историю 2005 года с руткитом Sony, устанавливаемым в систему с музыкальных дисков. Жесткий прессинг в СМИ, коллективные иски, вмешательство Федеральной Торговой Комиссии США… История та обошлась Sony недешево, более чем в полмиллиарда долларов. Казалось бы, урок из этого должны были извлечь все производители…
Но, как провидчески тогда заметил Марк Руссинович, обнаруживший руткит, «Потребители не имеют никаких гарантий, что другие компании не решатся на подобное». Как же он был прав.
Итак, февраль 2011 года. Мухамед Хассан, недавний выпускник университета г. Норвича (Англия) по специальности «защита информации» и владелец фирмы NetSec Consulting, покупает в магазине новый ноутбук Samsung R525 и начинает его настраивать. После установки Оси и начальной настройки, он не бросается сразу ставить Оперы, аськи, и торренты прикладной софт. Первым делом он ставит защитный пакет (неназванный) и запускает полное сканирование системы. К немалому его удивлению, обнаруживается кейлоггер StarLogger, живущий в папке С:\Windows\SL.
StarLogger — это коммерческий кейлоггер, который, помимо сайта разработчика, можно найти на разных файлопомойках и шароварных каталогах. Судя по описанию, он записывает все нажатия клавиш во всех окнах, включая поля с паролями. Логи регулярно отправляет на мыло; также может снимать и аттачить скриншоты. После боле тщательного исследования системы, Мухамед приходит к выводу, что зловред мог быть установлен только производителем. Видимо, не поверив в это до конца, он вычистил систему и продолжил пользоваться своим ноутбуком.
Однако через некоторое время появились проблемы с драйверами видео. Он, не долго думая, просто вернул ноут в магазин (неплохо, да?) и в другом магазине купил модельку постарше, R540. Ну, вы уже догадались, да? Тот же самый StarLogger в той же папке. Версию ложного срабатывания можно было смело отбросить, тем более что раньше используемый уже 6 лет сканер никогда не ошибался.
Погуглив немного на эту тему, Хассан нашел обсуждение годовалой давности, где народ жаловался на зависания при сканировании ноутбуков Samsung на руткиты. Но прямой связи со StarLogger в поисковиках не обнаружилось.
Хассан позвонил в саппорт Самсунга с намерением разобраться по-взрослому. Инцидент зарегистрирован за № 2101163379 (мотаем на ус, как надо начинать общение с саппортом). Вначале саппорт упорно отрицал (также как и Sony в свое время) возможность присутствия подобного софта на их ноутбуках. Однако после того, как им медленно и внятно объяснили, что программа обнаружена в одном и том же месте, на двух ноутбуках двух разных моделей, купленных в разных местах, они сменили тактику и стали переводить стрелки на Microsoft. «Мы только производим железо, а весь софт от Microsoft, к ним и обращайтесь». После новой серии препирательств, поняв, что разозленный клиент это чревато, саппорт первой линии сдался и перевел инцидент на старшего.
Старший вначале и сам не мог понять, как эта программа могла оказаться на новом ноутбуке, и попросил Мухамеда повисеть немного. Затем он подтвердил, что да, Самсунг сознательно установил эту программу на ноутбук для того, чтобы, как он выразился, «следить за производительностью машины и понимать, как она используется». Другими словами, Самсунг захотел собирать данные об использовании ноутбука без получения согласия на это владельца.
По сравнению с Sony, руткит которой ставился в систему с музыкального диска, купленного отдельно, Самсунг пошел еще дальше и ставит свой кейлоггер прямо на заводе. Ждет ли его такая же волна коллективных исков? Другие производители непременно будут с интересом следить за развитием событий.
Перед публикацией этой информации в Network World редакция связалась с тремя представителями PR службы Самсунга и попросила комментариев. За неделю, данную им на ответ, не ответил никто.
PCWorld сообщает, что Самсунг все-таки ответил в лице Jason Redmond, что компания расследует заявления Хассана. «Мы относимся к этим заявлениям очень, очень серьезно» — заявил он. Ранее ему не было известно ни об этой проблеме, ни о компании Willebois Consulting, разработчике кейлоггера.
Шпионила ли Samsung за своими клиентами?
По итогам оперативного изучения случившегося представители Samsung объявили, что оснований для беспокойства нет и быть не может: ноутбуки, выпускаемые компанией, полностью безопасны. Причиной инцидента оказалось ложное срабатывание антивирусного сканера VIPRE, которым пользовался г-н Хасан. По-видимому, специалист не предполагал, что применяемая им противовирусная система обнаруживает вредоносные и нежелательные программы по именам каталогов, в которых те обыкновенно располагаются.
Вместе с прочим программным обеспечением на ноутбуки, с которыми работал возмутитель спокойствия, был установлен пакет приложений Microsoft Live. Данное решение поддерживает мультиязычность и каждый набор языковых файлов помещает в отдельную директорию в папке операционной системы. По "роковому" совпадению данные для словенской локализации, как и шпионский инструмент StarLogger, устанавливаются в каталог с именем "C:\WINDOWS\SL".
Проверка, проведенная сотрудниками Samsung и экспертами антивирусных компаний, показала, что если на совершенно чистом компьютере, находящемся под защитой VIPRE, создать пустой каталог C:\WINDOWS\SL, то это вызовет срабатывание антивирусной системы с аналогичным вердиктом. Снимок экрана, иллюстрирующий этот факт, доступен здесь.
Таким образом, инцидент разрешился благополучно. Однако, как справедливо заметил журналист Интернет-издания The Register, происшествие поднимает пару небезынтересных вопросов: во-первых, почему антивирусный продукт VIPRE полагается на столь ненадежный и недостоверный метод детектирования, как поиск вредоносных программ по имени каталога, а во вторых - насколько высока квалификация сотрудников технической поддержки Samsung Electronics.
Если бы обвинения, выдвинутые Мохаммедом Хасаном, подтвердились, то южнокорейскому производителю техники грозили бы большие неприятности - судебные иски, финансовые и репутационные потери. Инцидент уже успели сравнить со случаем шестилетней давности, когда в программном обеспечении для контроля копирования компакт-дисков от Sony были обнаружены руткит-технологии.
-------
Общение
Список форумов
На главную
0.027 сек
SQL: 3