В фирменном дистрибутиве Windows, который поставляется на ноутбуках Samsung обнаружен кейлоггер, вероятно установленный производителем
Пользователи ноутбуков Samsung оказались под угрозой хакерской атаки. Накануне стало известно о том, что часть ноутбуков этой компании оказались заражены злонамеренным программным обеспечением StarLogger, которое изначально шло с новым компьютером и когда пользователи, купив новый ноутбук, включали его, то их машина уже была заражена.
StarLogger представляет собой часть более крупного шпионского комплекта для наблюдением за действиями пользователя. Присутствующая на компьютере версия ПО позволяет записывать все клавиатурные нажатия пользователя, а также делать снимки экрана, передавая все перехваченные данные на заданный email.
В самой Samsung говорят, что компания уже накануне начала внутреннее расследование и пытается понять, как шпионское ПО могло попасть на новые компьютеры. В компании предполагают, что данное стало возможным либо из-за чьей-то непреднамеренной ошибки и недосмотра за производственным процессом, либо из-за злого умысла кого-то из сотрудников компании, отвечающих за программное обеспечение.
Отмечается, что не все партии ноутбуков Samsung инфицированы, кроме того сообщается, что StarLogger работает только под Windows, поэтому в случае переустановки другой ОС, например Linux, пользователь уже не подвержен опасности.
Впервые данные о наличии злонамеренного ПО распространил консультант по ИТ-безопасности Мохаммед Хассан ( Muhhamad Hassan ) , сообщивший о проблеме изданию Network World. Хассан сообщил, что он купил одновременно два новых ноутбука Samsung разных моделей и на обоих было злонамеренное ПО.
По словам консультанта, spyware было обнаружено во время обычной проверки сканером руткитов. Независимые специалисты отмечают, что сейчас у Samsung достаточно сильные позиции в сегменте бизнес-ноутбуков и подобные инциденты, связанные со шпионским ПО, компании совершенно не на руку.
В компании говорят, что отнеслись к полученным данным "очень серьезно" и намерены до конца разобраться в ситуации. Мохаммед Хассан говорит, что в его случае на обоих ноутбуках программа-шпион присутствовала в папке C:\windows\SL
===
Альтернативный вариант статьи с Хабры ( habrahabr.ru )
На ноутбуках Samsung обнаружен кейлоггер, вероятно установленный произ
Информационная безопасность / На ноутбуках Samsung обнаружен кейлоггер, вероятно установленный производителем
Все мы помним историю 2005 года с руткитом Sony, устанавливаемым в систему с музыкальных дисков. Жесткий прессинг в СМИ, коллективные иски, вмешательство Федеральной Торговой Комиссии США… История та обошлась Sony недешево, более чем в полмиллиарда долларов. Казалось бы, урок из этого должны были извлечь все производители…
Но, как провидчески тогда заметил Марк Руссинович, обнаруживший руткит, «Потребители не имеют никаких гарантий, что другие компании не решатся на подобное». Как же он был прав.
Итак, февраль 2011 года. Мухамед Хассан, недавний выпускник университета г. Норвича (Англия) по специальности «защита информации» и владелец фирмы NetSec Consulting, покупает в магазине новый ноутбук Samsung R525 и начинает его настраивать. После установки Оси и начальной настройки, он не бросается сразу ставить Оперы, аськи, и торрентыприкладной софт. Первым делом он ставит защитный пакет (неназванный) и запускает полное сканирование системы. К немалому его удивлению, обнаруживается кейлоггер StarLogger, живущий в папке С:\Windows\SL.
StarLogger — это коммерческий кейлоггер, который, помимо сайта разработчика, можно найти на разных файлопомойках и шароварных каталогах. Судя по описанию, он записывает все нажатия клавиш во всех окнах, включая поля с паролями. Логи регулярно отправляет на мыло; также может снимать и аттачить скриншоты. После боле тщательного исследования системы, Мухамед приходит к выводу, что зловред мог быть установлен только производителем. Видимо, не поверив в это до конца, он вычистил систему и продолжил пользоваться своим ноутбуком.
Однако через некоторое время появились проблемы с драйверами видео. Он, не долго думая, просто вернул ноут в магазин (неплохо, да?) и в другом магазине купил модельку постарше, R540. Ну, вы уже догадались, да? Тот же самый StarLogger в той же папке. Версию ложного срабатывания можно было смело отбросить, тем более что раньше используемый уже 6 лет сканер никогда не ошибался.
Погуглив немного на эту тему, Хассан нашел обсуждение годовалой давности, где народ жаловался на зависания при сканировании ноутбуков Samsung на руткиты. Но прямой связи со StarLogger в поисковиках не обнаружилось.
Хассан позвонил в саппорт Самсунга с намерением разобраться по-взрослому. Инцидент зарегистрирован за № 2101163379 (мотаем на ус, как надо начинать общение с саппортом). Вначале саппорт упорно отрицал (также как и Sony в свое время) возможность присутствия подобного софта на их ноутбуках. Однако после того, как им медленно и внятно объяснили, что программа обнаружена в одном и том же месте, на двух ноутбуках двух разных моделей, купленных в разных местах, они сменили тактику и стали переводить стрелки на Microsoft. «Мы только производим железо, а весь софт от Microsoft, к ним и обращайтесь». После новой серии препирательств, поняв, что разозленный клиент это чревато, саппорт первой линии сдался и перевел инцидент на старшего.
Старший вначале и сам не мог понять, как эта программа могла оказаться на новом ноутбуке, и попросил Мухамеда повисеть немного. Затем он подтвердил, что да, Самсунг сознательно установил эту программу на ноутбук для того, чтобы, как он выразился, «следить за производительностью машины и понимать, как она используется». Другими словами, Самсунг захотел собирать данные об использовании ноутбука без получения согласия на это владельца.
По сравнению с Sony, руткит которой ставился в систему с музыкального диска, купленного отдельно, Самсунг пошел еще дальше и ставит свой кейлоггер прямо на заводе. Ждет ли его такая же волна коллективных исков? Другие производители непременно будут с интересом следить за развитием событий.
Перед публикацией этой информации в Network World редакция связалась с тремя представителями PR службы Самсунга и попросила комментариев. За неделю, данную им на ответ, не ответил никто.
via Network World
UPDATE:
PCWorld сообщает, что Самсунг все-таки ответил в лице Jason Redmond, что компания расследует заявления Хассана. «Мы относимся к этим заявлениям очень, очень серьезно» — заявил он. Ранее ему не было известно ни об этой проблеме, ни о компании Willebois Consulting, разработчике кейлоггера.
P.S. Ну что, владельцы R525, R540 да и вообще Самсунгов, отчитываемся в комментах.
