[Обновлено] Шпионила ли Samsung за своими клиентами?

[Обновлено] Шпионила ли Samsung за своими клиентами?

В последние дни марта Интернет-сообщество было взбудоражено известием о том, что крупный производитель бытовой и компьютерной техники Samsung Electronics, вероятно, сознательно поставлял портативные персональные компьютеры с предустановленным шпионским программным обеспечением. Результаты расследования инцидента, однако, опровергают это предположение.


Все началось с публикации на популярном сетевом ресурсе Network World, в которой специалист по информационной безопасности Мохаммед Хасан рассказал о случившемся с ним инциденте. Некоторое время назад он приобрел новый ноутбук Samsung серии R, модель 525; по своей давней привычке специалист провел предварительное антивирусное сканирование операционной системы... и обнаружил в каталоге C:\WINDOWS\SL коммерческий шпионский инструмент StarLogger.

StarLogger - это средство мониторинга действий пользователя, или, проще, кейлоггер. Он отслеживает все вводимые с клавиатуры данные, делает снимки экрана и регулярно посылает собираемые сведения на заданный ему электронный адрес. Естественно, что вместе с прочими сведениями к "хозяину" уходят и аутентификационные данные (логины и пароли), и другая конфиденциальная информация. Визуально "продукт" себя никак не проявляет.

Г-н Хасан избавился от кейлоггера и какое-то время работал с ноутбуком, однако вскоре у него возникли проблемы с дисплеем, и специалист вернул портативный компьютер в магазин. Посетив другую торговую точку, он приобрел модель из той же серии, но с более высоким номером - R540; каково же было его удивление, когда и на этом устройстве обнаружился тот же самый кейлоггер, расположенный в той же самой папке.

Инцидент, таким образом, из разряда случайностей перешел в закономерность, и г-н Хасан отправился выяснять, известно ли производителю о наличии кейлоггера и какие объяснения Samsung может предложить относительно случившегося. В первую очередь был оформлен запрос в техническую поддержку компании.

Специалист рассказывает, что сотрудники поддержки первого уровня сначала утверждали, будто никакого шпионского ПО на компьютерах быть не может. Когда г-н Хасан указал, что один и тот же кейлоггер оказался идентичным образом установлен на два разных ноутбука из одной серии, купленных в разных магазинах, ему заявили, что Samsung отвечает только за аппаратное обеспечение, а по вопросам обеспечения программного необходимо... правильно, обратиться в корпорацию Microsoft. Эксперт, однако, стоял на своем и добился переключения на одного из старших технических консультантов.

Тот, в свою очередь, поведал г-ну Хасану, что компания действительно установила на ноутбуки такую программу, "чтобы отслеживать производительность машины и условия ее использования". На этом основании специалист сделал окончательный вывод - Samsung сознательно поставляла клиентам портативные компьютеры, инфицированные шпионским программным обеспечением, - о чем и написал в своей статье на Network World. Позднее, комментируя инцидент для Интернет-издания V3.co.uk, он добавил, что консультант технической поддержки еще и пытался убедить его в том, будто все производители компьютерной техники внедряют в системы такие кейлоггеры, и вообще здесь совершенно не о чем беспокоиться.

Два других популярных сетевых ресурса - PC World и CNET - в это время как раз получили для написания обзоров недавно выпущенные ноутбуки Samsung серии 9, которые должны составить конкуренцию Apple MacBook Air. Когда Network World опубликовал статью г-на Хасана, редакторы этих сайтов независимо друг от друга решили проверить, есть ли инфекция на этих устройствах; ни в первом, ни во втором случае никаких следов StarLogger им обнаружить не удалось. Возможно, впрочем, что заражению подверглись только портативные компьютеры серии R.

Следом отреагировали и официальные лица самой Samsung. Пресс-секретарь компании Джейсон Редмонд сообщил журналистам, что по факту инцидента начато внутреннее расследование, и все представленные г-ном Хасаном сведения будут самым тщательным образом проверены. Он также отметил, что никогда не слышал ни о производителе StarLogger - фирме De Willebois Consulting, - ни о каких-либо эпизодах сотрудничества или партнерских отношениях Samsung с этой компанией.

 

Дополнение

По итогам оперативного изучения случившегося представители Samsung объявили, что оснований для беспокойства нет и быть не может: ноутбуки, выпускаемые компанией, полностью безопасны. Причиной инцидента оказалось ложное срабатывание антивирусного сканера VIPRE, которым пользовался г-н Хасан. По-видимому, специалист не предполагал, что применяемая им противовирусная система обнаруживает вредоносные и нежелательные программы по именам каталогов, в которых те обыкновенно располагаются.

Вместе с прочим программным обеспечением на ноутбуки, с которыми работал возмутитель спокойствия, был установлен пакет приложений Microsoft Live. Данное решение поддерживает мультиязычность и каждый набор языковых файлов помещает в отдельную директорию в папке операционной системы. По "роковому" совпадению данные для словенской локализации, как и шпионский инструмент StarLogger, устанавливаются в каталог с именем "C:\WINDOWS\SL".

Проверка, проведенная сотрудниками Samsung и экспертами антивирусных компаний, показала, что если на совершенно чистом компьютере, находящемся под защитой VIPRE, создать пустой каталог C:\WINDOWS\SL, то это вызовет срабатывание антивирусной системы с аналогичным вердиктом. Снимок экрана, иллюстрирующий этот факт, доступен здесь.

Таким образом, инцидент разрешился благополучно. Однако, как справедливо заметил журналист Интернет-издания The Register, происшествие поднимает пару небезынтересных вопросов: во-первых, почему антивирусный продукт VIPRE полагается на столь ненадежный и недостоверный метод детектирования, как поиск вредоносных программ по имени каталога, а во вторых - насколько высока квалификация сотрудников технической поддержки Samsung Electronics.

Если бы обвинения, выдвинутые Мохаммедом Хасаном, подтвердились, то южнокорейскому производителю техники грозили бы большие неприятности - судебные иски, финансовые и репутационные потери. Инцидент уже успели сравнить со случаем шестилетней давности, когда в программном обеспечении для контроля копирования компакт-дисков от Sony были обнаружены руткит-технологии.

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Nvidia объявила о критических уязвимостях в драйверах и управляющем ПО

Nvidia заявила, что эксперты выявили 8 уязвимостей в драйверах и управляющем ПО видеокарт RTX, Quadro, NVS, Tesla и GeForce. Все они имеют высокую степень риска – от 7 до 8 баллов по CVSS. Вендор настоятельно рекомендует обновить драйверы и ПО.

Как отмечается в бюллетене безопасности Nvidia, 6 из 8 обнаруженных уязвимостей касаются драйверов дисплея (CVE20240126, CVE20240117, CVE20240118, CVE20240119, CVE20240120, CVE20240121), две – ПО Nvidia VGPU (CVE20240127 и CVE20240128).

Все они позволяют потенциальным злоумышленникам повышать привилегии, запускать произвольный код и получать доступ к локальным данным. Описанные уязвимости касаются ПО и драйверов как для Windows, так и для Linux.

Вместе с тем, как отмечают авторы издания PC World Лора Пиппиг и Джоэль Ли,  вендор прямо не сообщил, имеется ли в «дикой природе» эксплойт, который позволил бы эксплуатировать данные уязвимости.

Однако они обращают внимание на то, что проблема касается всех видеокарт — как игровых, так и профессиональных, так что проблема, скорее всего, является масштабной.

Nvidia заявила об устранении данных проблем. Вендор рекомендует в кратчайшие сроки обновить драйверы Nvidia GeForce с версией 566.03 для Windows версии 565.57.01, 550.127.05 и 535.216.01 для Linux. Драйверы Nvidia RTX, Quadro и NVS нужно обновить соответственно до 566.03, 553.24 и 538.95.

Драйверы можно обновить и через Nvidia App и GeForce Experience, а также с помощью инструмента ручного поиска на официальном сайте вендора. Кроме того, драйверы можно загрузить через механизмы обновления системы как для Linux, так и для Windows.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru