[Обновлено] Шпионила ли Samsung за своими клиентами?

[Обновлено] Шпионила ли Samsung за своими клиентами?

В последние дни марта Интернет-сообщество было взбудоражено известием о том, что крупный производитель бытовой и компьютерной техники Samsung Electronics, вероятно, сознательно поставлял портативные персональные компьютеры с предустановленным шпионским программным обеспечением. Результаты расследования инцидента, однако, опровергают это предположение.


Все началось с публикации на популярном сетевом ресурсе Network World, в которой специалист по информационной безопасности Мохаммед Хасан рассказал о случившемся с ним инциденте. Некоторое время назад он приобрел новый ноутбук Samsung серии R, модель 525; по своей давней привычке специалист провел предварительное антивирусное сканирование операционной системы... и обнаружил в каталоге C:\WINDOWS\SL коммерческий шпионский инструмент StarLogger.

StarLogger - это средство мониторинга действий пользователя, или, проще, кейлоггер. Он отслеживает все вводимые с клавиатуры данные, делает снимки экрана и регулярно посылает собираемые сведения на заданный ему электронный адрес. Естественно, что вместе с прочими сведениями к "хозяину" уходят и аутентификационные данные (логины и пароли), и другая конфиденциальная информация. Визуально "продукт" себя никак не проявляет.

Г-н Хасан избавился от кейлоггера и какое-то время работал с ноутбуком, однако вскоре у него возникли проблемы с дисплеем, и специалист вернул портативный компьютер в магазин. Посетив другую торговую точку, он приобрел модель из той же серии, но с более высоким номером - R540; каково же было его удивление, когда и на этом устройстве обнаружился тот же самый кейлоггер, расположенный в той же самой папке.

Инцидент, таким образом, из разряда случайностей перешел в закономерность, и г-н Хасан отправился выяснять, известно ли производителю о наличии кейлоггера и какие объяснения Samsung может предложить относительно случившегося. В первую очередь был оформлен запрос в техническую поддержку компании.

Специалист рассказывает, что сотрудники поддержки первого уровня сначала утверждали, будто никакого шпионского ПО на компьютерах быть не может. Когда г-н Хасан указал, что один и тот же кейлоггер оказался идентичным образом установлен на два разных ноутбука из одной серии, купленных в разных магазинах, ему заявили, что Samsung отвечает только за аппаратное обеспечение, а по вопросам обеспечения программного необходимо... правильно, обратиться в корпорацию Microsoft. Эксперт, однако, стоял на своем и добился переключения на одного из старших технических консультантов.

Тот, в свою очередь, поведал г-ну Хасану, что компания действительно установила на ноутбуки такую программу, "чтобы отслеживать производительность машины и условия ее использования". На этом основании специалист сделал окончательный вывод - Samsung сознательно поставляла клиентам портативные компьютеры, инфицированные шпионским программным обеспечением, - о чем и написал в своей статье на Network World. Позднее, комментируя инцидент для Интернет-издания V3.co.uk, он добавил, что консультант технической поддержки еще и пытался убедить его в том, будто все производители компьютерной техники внедряют в системы такие кейлоггеры, и вообще здесь совершенно не о чем беспокоиться.

Два других популярных сетевых ресурса - PC World и CNET - в это время как раз получили для написания обзоров недавно выпущенные ноутбуки Samsung серии 9, которые должны составить конкуренцию Apple MacBook Air. Когда Network World опубликовал статью г-на Хасана, редакторы этих сайтов независимо друг от друга решили проверить, есть ли инфекция на этих устройствах; ни в первом, ни во втором случае никаких следов StarLogger им обнаружить не удалось. Возможно, впрочем, что заражению подверглись только портативные компьютеры серии R.

Следом отреагировали и официальные лица самой Samsung. Пресс-секретарь компании Джейсон Редмонд сообщил журналистам, что по факту инцидента начато внутреннее расследование, и все представленные г-ном Хасаном сведения будут самым тщательным образом проверены. Он также отметил, что никогда не слышал ни о производителе StarLogger - фирме De Willebois Consulting, - ни о каких-либо эпизодах сотрудничества или партнерских отношениях Samsung с этой компанией.

 

Дополнение

По итогам оперативного изучения случившегося представители Samsung объявили, что оснований для беспокойства нет и быть не может: ноутбуки, выпускаемые компанией, полностью безопасны. Причиной инцидента оказалось ложное срабатывание антивирусного сканера VIPRE, которым пользовался г-н Хасан. По-видимому, специалист не предполагал, что применяемая им противовирусная система обнаруживает вредоносные и нежелательные программы по именам каталогов, в которых те обыкновенно располагаются.

Вместе с прочим программным обеспечением на ноутбуки, с которыми работал возмутитель спокойствия, был установлен пакет приложений Microsoft Live. Данное решение поддерживает мультиязычность и каждый набор языковых файлов помещает в отдельную директорию в папке операционной системы. По "роковому" совпадению данные для словенской локализации, как и шпионский инструмент StarLogger, устанавливаются в каталог с именем "C:\WINDOWS\SL".

Проверка, проведенная сотрудниками Samsung и экспертами антивирусных компаний, показала, что если на совершенно чистом компьютере, находящемся под защитой VIPRE, создать пустой каталог C:\WINDOWS\SL, то это вызовет срабатывание антивирусной системы с аналогичным вердиктом. Снимок экрана, иллюстрирующий этот факт, доступен здесь.

Таким образом, инцидент разрешился благополучно. Однако, как справедливо заметил журналист Интернет-издания The Register, происшествие поднимает пару небезынтересных вопросов: во-первых, почему антивирусный продукт VIPRE полагается на столь ненадежный и недостоверный метод детектирования, как поиск вредоносных программ по имени каталога, а во вторых - насколько высока квалификация сотрудников технической поддержки Samsung Electronics.

Если бы обвинения, выдвинутые Мохаммедом Хасаном, подтвердились, то южнокорейскому производителю техники грозили бы большие неприятности - судебные иски, финансовые и репутационные потери. Инцидент уже успели сравнить со случаем шестилетней давности, когда в программном обеспечении для контроля копирования компакт-дисков от Sony были обнаружены руткит-технологии.

Письмо автору

iOS 27 попробует остановить мошенников прямо во время развода по телефону

Apple готовит для iOS 27 новый фреймворк Trust Insights, который должен помогать приложениям замечать, что пользователя прямо сейчас могут разводить мошенники. Причём речь не о классическом антивирусе, а о попытке поймать социальную инженерию в процессе, когда человек сам переводит деньги, меняет настройки аккаунта или отправляет данные.

Apple объясняет проблему просто: такие атаки сложно ловить автоматически, потому что действия выполняет сам пользователь, аутентифицированный и вроде бы легитимный.

Особенно это актуально на фоне скамов с техподдержкой, фейковыми сотрудниками ведомств, семейными ЧП и дипфейками.

Trust Insights будет в основном работать на устройстве и анализировать не содержание сообщений, писем или фотографий, а поведенческие сигналы: паттерны взаимодействия, время, контекст и базовые данные сенсоров.

Если система решит, что пользователя, возможно, инструктируют мошенники, она присвоит операции средний или высокий уровень риска.

 

После этого приложение сможет показать предупреждение, добавить задержку, запросить дополнительную проверку или усложнить выполнение опасного действия. Например, перед платежом, сменой данных аккаунта, отправкой сообщения, подписанием документа или использованием дорогих ресурсов вроде ИИ-инференса.

Apple подчёркивает, что Trust Insights не читает содержимое Фотографий, Сообщений и Почты. Данные анализируются локально, сразу отбрасываются, а на серверы Apple уходит только итоговое значение риска. Там его могут сопоставить с данными аккаунта и признаками необычной активности, после чего система вернёт финальную оценку.

Отключить Trust Insights можно будет в настройках, но Apple предусматривает период ожидания. Логика понятна: мошенник вполне может наказать жертве срочно выключить защиту, иначе деньги пропадут.

Для разработчиков это новый инструмент, который позволит не просто молча проводить операции, а вмешиваться в момент, когда пользователь уже почти наступил на цифровые грабли.

RSS: Новости на портале Anti-Malware.ru