31 marzo 2011

Samsung instala Keyloggers en ordenadores portátiles

¿Recordáis el affaire Sony y su rootkit? parece que la historia se repite, esta vez desde Samsung. Por lo visto, el fabricante Coreano de tecnología ha sido pillado 'con las manos en la masa' instalando software de tipo keylogger en sus ordenadores portátiles.

La historia es la siguiente, un empleado de NetSec (empresa dedicada a la seguridad informática) adquiere un nuevo equipo del fabricante Coreano, una vez adquirido decide hacerle una pequeña revisión en busca de malware y ¡sorpresa! encuentra un keylogger llamado StarLogger en su equipo nuevo.

Para descartar que el 'regalo' se lo hubiesen introducido en la tienda donde compró el primer equipo, decidió comprar un segundo equipo Samsung en otro establecimiento. Realizó la búsqueda y ... Anda ! resulta que el otro equipo estaba igualmente infectado.

Con estos datos decide ponerse en contacto con el servicio técnico de Samsung, en primera instancia le dicen que eso no es posible, que ellos únicamente hacen el hardware y que será cosa 'de Microsoft'.

Finalmente consigue hablar con un supervisor técnico que ... le confirma que sí, ellos instalan ese software 'Para analizar el comportamiento de los usuarios' y que 'no debe temer por ello'

Es comprensible la cara de WTF! que se le debió quedar cuando obtuvo esa respuesta. Casi igual que la cara que se les quedó a la gente de Panda cuando encontraron malware en el software que les proporcionó VodaFone

Pocas excusas admisibles hay en todo esto, y ya no solo por la bizarra imagen de un montón de Coreanos en un sótano 'disfrutando' de un montón de conversaciones 'hot'. El problema es que ese keylogger también captura datos de accesos bancarios y al igual que el rootkit de Sony, seguro que puede ser utilizado por terceras personas para obtener bastante información.

Solo le veo una explicación plausible a todo esto: Que Samsung esté implantando un servicio Cloud de 'gestión y monitorización de parejas sospechosas' en cuyo caso si empiezo a verle la gracia a todo esto.

La historia original en inglés aquí

UPDATE: 'Samsungtomorrow' niega la existencia de dicho Keylogger y F-Secure dice no haber hallado evidencias en sus pruebas (aunque no especifica si las pruebas se hicieron en equipos adquiridos en la misma zona geográfica) No queda claro porqué el servicio técnico de Samsung si confirmó la existencia 

25 comments :

Madrikeka dijo...

Flipa, efectivamente parece que cada vez intentan todas las empresas sacar datos del usuario...y por supuesto sin darle la importacia ni confidencialidad que se merecen.


Un saludo.

Sr XX terror dijo...

Deberían ir a la cárcel todos los responsables, pero, lamentablemente, sabemos que quedará en nada. Algunos tienen carta blanca.
Felicidades por su blog.

Tonio dijo...

Manda cojones!! esto se esta convirtiendo en el Gran Hermano, cada vez lo debemos tener más claro.

Maria dijo...

Pues voy a empezar a buscar en mi recién estrenado portátil de Samsung!! Tiene narices! ¿Sabéis si se puede eliminar?

Gabriel Gálvez dijo...

Aquí se habla de un falso positivo: http://www.samsungtomorrow.com/1071

Saludos.

Felipe Molina (@felmoltor) dijo...

Los de F-Secure dicen que no han encontrado nada por los portátiles que ellos han mirado:

http://www.f-secure.com/weblog/archives/00002132.html

Supongo que, o es una remesa que salió con el keylogger o el artículo original busca perjudicar a Samsumg...

vaites dijo...

Es una noticia falsa: http://www.samsungtomorrow.com/1071

svoboda dijo...

La verdad es que con toda la m*... que viene de fábrica en los portátiles, lo primero que hago después de comprar uno, siempre es reinstalarlo todo. No por que piense que va a haber malware o cosas similares, sino por al cantidad de aplicaciones que te meten los fabricantes para ayudarte que lo único que hacen es molestar. Pero vamos, viendo como se pone el tema, (si es verdad, que me parece muy raro), no era mala idea la de reinstalar.

José A. Guasch dijo...

Se ha publicado que puede ser una noticia falsa, pero recordemos lo que comentó un supervisor de la propia SAMSUNG cuando el investigador que reportó esta situación llamó a soporte (y que se comenta en este post de Yago), que es lo que realmente llama la atención:

"Hassan said when he called and logged an incident report with Samsung on March 1, support personnel initially denied that keylogging software was on Samsung laptops and then referred him to Microsoft, saying "all Samsung did was manufacture the hardware," he writes. Eventually, a supervisor got on the phone and confirmed that Samsung put the software on the laptop to monitor machine performance "and to find out how it is being used.""

Anónimo dijo...

Dice Samsung que no, que es un falso positivo del antivirus, que detecta una carpeta de la versión eslovaca como parte de un keylogger que crea una igual.

http://www.samsungtomorrow.com/1071

tuxotron dijo...

Parece que fue un falso positivo

http://www.f-secure.com/weblog/archives/00002133.html

Vicente Motos dijo...

Si, definitivamente van apareciendo diversas noticias que confirman el falso positivo:
http://sunbeltblog.blogspot.com/2011/03/samsung-laptops-do-not-have-keylogger.html
http://www.product-reviews.net/2011/03/31/samsung-keylogger-software-vipre-mistaken-as-starlogger/
http://news.yahoo.com/s/digitaltrends/20110331/tc_digitaltrends/samsungkeyloggeraccusationsprovefalse
etc...

Anónimo dijo...

El supervisor que lo confirmó por teléfono también era falso ? o era positivo ? o era ambas cosas ? xD

SilverNeoX dijo...

The statements that Samsung installs keylogger on R525 and R540 laptop computers are false.

Our findings indicate that the person mentioned in the article used a security program called VIPRE that mistook a folder created by Microsoft’s Live Application for a key logging software, during a virus scan.

The confusion arose because VIPRE mistook Microsoft's Live Application multi-language support folder, "SL" folder, as StarLogger.

(Depending on the language, under C:\windows folders "SL" for Slovene, "KO" for Korean, "EN" for English are created.)

Samsung will continue to respect customer needs by providing the highest quality products and services.

Anónimo dijo...

"to monitor machine performance "and to find out how it is being used.""

No es la misma traduccion que habeis puesto, sensacionalistas. Ahí dice que es para monitorizar el rendimiento de la maquina y averiguar como esta siendo usada, muy diferente a "monitorizar lo que hacen los usuarios"...

Una cosa no quita la otra, si esto fuera verdad seria otra putada mas para los usuarios, que no entiendo porque se empeñan en putearnos, pero si encima de que os cuelan una noticia falsa vosotros la tratais como la prensa rosa.... mal vais.

Anónimo dijo...

Lo mas gracioso es que todo parte de un pringao que no sabe analizar los resultados de un analisis de un software que puede equivocarse. Todo esto por el nombre de una carpeta!!! desde cuando las carpetas monitorean algo? xddd

Sinceramente creo que deberiais rectificar el titulo de la entrada.

Anónimo dijo...

La gente se lo cree todo sin ni siquiera contrastarlo un poco... que pena...

Yago Jesus dijo...

para los @Anónimos-ninja: Vamos a ver, contrastar el que ? la noticia per se es absolutamente cierta:

-Un consultor de seguridad, CISSP detecta evidencias de un keylogger

-Se pone en contacto y alguien del servicio técnico lo confirma

-Finalmente se desvela que probablemente sea un falso positivo del AV

¿Que hay de inventado? Harina de otro costal hubiera sido que la historia no fuese real, no existiese un AV que dijese 'Ahí hay un keylogger' etc etc.

Y para el Anónimo que dice algo de la traducción ... De la noticia que yo linko en el post http://www.v3.co.uk/v3-uk/news/2038916/security-firm-key-logger-installed-samsung-laptops

Extraemos: 'Next call I got a supervisor who, after trying the same argument, nonchalantly told me that all computer manufacturers put such key-logging software on their systems to monitor user behavior and told me not to worry about it'

Que parte de 'to monitor user behavior' traducido a 'Para analizar el comportamiento de los usuarios' está mal traducido ?? Lo digo porque hay excelentes herramientas online donde podrás confirmar tu error

Miguel dijo...

-Un consultor de seguridad, CISSP detecta evidencias de un keylogger


Si fuera un consultor, podria indagar mas y no solo basarse en lo que dictamina un producto Antivirus.

Lo creeria si fuera:

-Un usuario final, detecta evidencias de un keylogger.


>>Saludos.

Anónimo dijo...

El usuario se gasta 700 euros (por ejemplo) en comprar un segundo portátil para salir de dudas.

Era más barato descargar una versión de evaluación de otro antivirus diferente para salir de dudas.

Yago Jesus dijo...

para los @Anónimos-ninja: Vamos a ver, contrastar el que ? la noticia per se es absolutamente cierta:

-Un consultor de seguridad, CISSP detecta evidencias de un keylogger

-Se pone en contacto y alguien del servicio técnico lo confirma

-Finalmente se desvela que probablemente sea un falso positivo del AV

¿Que hay de inventado? Harina de otro costal hubiera sido que la historia no fuese real, no existiese un AV que dijese 'Ahí hay un keylogger' etc etc.

Y para el Anónimo que dice algo de la traducción ... De la noticia que yo linko en el post http://www.v3.co.uk/v3-uk/news/2038916/security-firm-key-logger-installed-samsung-laptops

Extraemos: 'Next call I got a supervisor who, after trying the same argument, nonchalantly told me that all computer manufacturers put such key-logging software on their systems to monitor user behavior and told me not to worry about it'

Que parte de 'to monitor user behavior' traducido a 'Para analizar el comportamiento de los usuarios' está mal traducido ?? Lo digo porque hay excelentes herramientas online donde podrás confirmar tu error

Anonymous dijo...

El supervisor que lo confirmó por teléfono también era falso ? o era positivo ? o era ambas cosas ? xD

Vicente Motos dijo...

Si, definitivamente van apareciendo diversas noticias que confirman el falso positivo:
http://sunbeltblog.blogspot.com/2011/03/samsung-laptops-do-not-have-keylogger.html
http://www.product-reviews.net/2011/03/31/samsung-keylogger-software-vipre-mistaken-as-starlogger/
http://news.yahoo.com/s/digitaltrends/20110331/tc_digitaltrends/samsungkeyloggeraccusationsprovefalse
etc...

Tonio dijo...

Manda cojones!! esto se esta convirtiendo en el Gran Hermano, cada vez lo debemos tener más claro.

Sr XX terror dijo...

Deberían ir a la cárcel todos los responsables, pero, lamentablemente, sabemos que quedará en nada. Algunos tienen carta blanca.
Felicidades por su blog.