Samsung a keyloggery - problem, którego nie było

O autorze

Grzegorz Niemirowski

@gniemirowski

Kolejny dzień przyniósł rozwiązanie sprawy zagadkowego keyloggera odnajdowanego na laptopach Samsunga. Okazało się, że powodem zamieszania był błąd programu antywirusowego.

Firma Samsung wydała oficjalne oświadczenie, w którym stwierdza, że podkatalog SL w katalogu systemu Windows tworzony jest przez Windows Live dla słoweńskiego pakietu językowego. Katalog ten został uznany przez program antywirusowy VIPRE, którego używał Mohamed Hassan, za należący do wirusa StarLogger. Stało się to na skutek użycia w programie dość ryzykownej techniki heurystycznej bazującej na ścieżkach plików i folderów. Antywirus w ogóle nie sprawdził, czy w rzeczonym katalogu znajdują się pliki keyloggera. Tylko ze względu na obecność katalogu SL zasygnalizował obecność szkodliwego programu. Ten sam błąd popełnił Mohamed Hassan, założyciel firmy specjalizującej się w usługach konsultingowych z zakresu bezpieczeństwa informatycznego i posiadacz tytułów MSIA, CISSP i CISA. Oskarżył firmę Samsung nie szukając pliku wykonywalnego rzekomego keyloggera na dysku. Tymczasem firma GFI, producent antywirusa VIPRE, wydała już odpowiednią poprawkę oraz opublikowała wyjaśnienia i przeprosiny za swoją pomyłkę.

Nadal nie wiadomo, dlaczego Samsung w pewnym momencie przyznał się do instalacji keyloggera. Zapewne pracownik, z którym kontaktował się Hassan, sam w końcu uwierzył w istnienie fabrycznie zainstalowanego keyloggera i starał się dać jak najlepszą odpowiedź. Zapewne stwierdził, że ta, którą wybrał, zabrzmi lepiej niż np. przyznanie się do przypadkowej infekcji produkowanych laptopów.