Twee jaar na het Sony BMG-rootkit-schandaal, lijkt Sony haar lesje nog niet helemaal geleerd te hebben. Deze keer zou de software voor haar MicroVault USB-stick met vingerafdruklezer rootkit-achtige software aan boord hebben.
De driver van de de USB-stick verstopt zich in een verborgen map in de Windows-directory. De mappen en bestanden zijn niet benaderbaar met de Windows API, waardoor men kan stellen dat het om een rootkit gaat.
Mika Tolvanen, die de kwestie aanklaagt op zijn weblog, denk dat Sony haar software installeert in de geheime map om ervoor te zorgen dat niet geknoeid wordt met de software achter haar vingerafdruklezer. Toch houdt deze rootkit-methode een beveiligingsrisico in. Een aanvaller kan nu malware verbergen in de geheime map, die zelfs voor bepaalde virusscanners onzichtbaar blijft.
"Het is evident dat je vingerafdrukken van gebruikers niet in een onbeschermd bestand kan achterlaten op de harde schijf als je alles veilig wil houden. Toch denk ik dat het gebruik van rootkit-achtige software niet de juiste manier is om de gebruiker te beschermen. We hebben contact opgenomen met Sony vooraleer we dit publiceerden, maar we kregen geen antwoord", schreef Mike Tolvanen.
Hij merkte wel nog op dat het om een ouder product gaat, dat mogelijk niet meer gefabriceerd wordt, maar dat wel nog verkocht wordt.
23 uur geleden
