Abonneer je gratis op Techzine!

Samsung blijkt laptops te hebben geleverd met daarop een keylogger geïnstalleerd, zo meldt Network World.

Beveiligingsonderzoeker Mohamed Hassan kocht in februari 2011 een Samsung-laptop met modelnummer R525. Na de installatie van beveiligingssoftware voerde hij een complete virusscan uit. Deze scan vond dat de commerciële keylogger StarLogger geïnstalleerd was op de gloednieuwe laptop. Bestanden geassocieerd met de keylogger werden gevonden in de C:\Windows\SL-map.

Volgens de omschrijving van StarLogger legt het programma elke toetsaanslag van het toetsenbord vast, zelfs toetsaanslagen ingevoerd in vensters die een wachtwoord vereisen. De keylogger is bovendien volgens de omschrijving compleet transparant en onzichtbaar voor de eindgebruiker, start altijd met de computer mee op en heeft de mogelijkheid om op vaste tijdstippen de verzamelde aanslagen door te mailen naar een bepaald e-mailadres. Ook heeft Star Logger de mogelijkheid om schermafbeeldingen te maken en deze eveneens automatisch door te sturen.

Na een analyse van de laptop door de onderzoeker, blijkt dat de software geïnstalleerd is door Samsung. Echter, omdat er problemen met de laptop ontstonden, de videokaart gaf problemen, bracht Hassan de laptop terug naar de winkel waar hij hem gekocht had en kocht hij een nieuw model, de R540.

Toen hij ook deze laptop onder de loep nam, bleek de StarLogger-software weer aanwezig in de map C:\Windows\SL.

Als op internet gezocht wordt naar forumdiscussies met de woorden "Samsung rootkit" blijkt dat er gebruikers zijn die problemen hebben ondervonden met het scannen op rootkits. Echter, het is niemand gelukt de StarLogger-keylogger te identificeren.

Reactie Samsung

Op 1 maart 2011 nam Hassan contact op met de Samsung-supportafdeling. Aanvankelijk ontkende Samsung-personeel het bestaan van de keylogger. Nadat de medewerkers werden geïnformeerd dat de software maar liefst twee keer is aangetroffen, veranderden zij hun verhaal naar: "Het enige wat Samsung heeft gedaan, is het maken van de hardware." Toen Hassan de medewerkers erop wees dat dit geen steek hield, werd het incident geëscaleerd naar een van de supporttoezichthouders.

De toezichthouder die de onderzoeker toen te woord kreeg bevestigde dat Samsung dit programma inderdaad heeft geïnstalleerd om "prestaties bij te houden en te achterhalen hoe de machine precies gebruikt wordt." Samsung vergaarde dus opzettelijk data zonder medeweten van de gebruiker.

Samsung heeft hiermee mogelijk de wet overtreden. De Federal Trade Commision van de VS liet in 2007 weten dat het installeren van geheime software die beveiligingsrisico’s veroorzaakt opdringerig en illegaal is.

De pr-afdeling van Samsung was onbereikbaar voor commentaar.


Update 09:51:
Samsung heeft gereageerd op de zaak en laat weten dat er geen keyloggers worden geïnstalleerd op laptops. Het bedrijf meldt dat de antivirussoftware VIPRE een map van Microsofts Live Application (die toevallig ook in C:\Windows\SL huisvest) onterecht aanzag voor keyloggersoftware.

Ondertussen meldt PC World dat het geen keyloggers heeft aangetroffen op zijn Samsung-laptop. Het heeft een Samsung Series 9-laptop om te testen en te reviewen en trof geen verdachte bestanden aan. Ook gebruikers komen de software niet tegen.


Update 12:23:
Ook F-Secure heeft onderzoek gedaan naar de laptops van Samsung en heeft de modellen R540, RF710, QX310, SF510, X125 en NF310 in de lokale computerwinkel onderzocht. Er blijkt eveneens geen keyloggersoftware op deze modellen aangetroffen te zijn.


Update 31 maart 12:54: Het blijkt definitief vals alarm te zijn. Zie ook onze opvolgberichtgeving.