Falso positivo en antivirus lleva a falsas conclusiones
Aunque no es frecuente, la industria de los productos anti-malware cada tanto da alguna noticia cuando sucede un falso positivo. En el caso sucedido hoy, el reconocido boletín de Networkworld titulaba Samsung instala keyloggers en sus portátiles (Samsung installs keylogger on its laptops).
El caso fue que un columnista de Networkworld escaneó por completo su nuevo equipo Samsung con el antivirus VIPRE el cual detectó, de forma equivocada, la presencia de un programa espia, un keylogger.
El asunto suscitó una serie de comunicaciones con Samsung y con GFI Labs (dueños desde hace poco tiempo de Sunbelt Software autores del antivirus VIPRE).
Según aclara GFI se trató de un falso positivo y pidieron disculpas publicamente por lo sucedido. También corrigieron el problema de la detección errada. El problema fue ocacionado por la heurística del producto y un directorio C:\windows\sl que contiene el idioma esloveno para la aplicación Windows Live.
Por supuesto Samsung también aclaró el punto en su blog titulando "Las portables Samsung de hecho son seguras".
El sitio Networkworld realizó las actualizaciones de las notas a medida que se fue develando el verdadero origen del asunto, para al final cambiar el título a: El keylogger de Samsung puede ser una falsa alarma.
Como decíamos al principio estos casos no son frecuentes pero no dejan de suceder, es propio de cualquier producto de software que tenga errores, tal como comentaba hace algunos años Hispasec. Tambien aqui hemos relatado otros casos como este de AVG que dejaba inutilizada la PC(de varios), o también falsos positivos de McAfee, como así TrendMicro y Symantec han tenido sus problemas al igual que muchas marcas más.
Esta noticia inicialmente mala sobre Samsung se difundió rápidamente aunque no tanto la corrección tras hallarse que se trató de un falso positivo de un antivirus en particular.
Raúl de la Redacción de Segu-Info
El caso fue que un columnista de Networkworld escaneó por completo su nuevo equipo Samsung con el antivirus VIPRE el cual detectó, de forma equivocada, la presencia de un programa espia, un keylogger.
El asunto suscitó una serie de comunicaciones con Samsung y con GFI Labs (dueños desde hace poco tiempo de Sunbelt Software autores del antivirus VIPRE).
Según aclara GFI se trató de un falso positivo y pidieron disculpas publicamente por lo sucedido. También corrigieron el problema de la detección errada. El problema fue ocacionado por la heurística del producto y un directorio C:\windows\sl que contiene el idioma esloveno para la aplicación Windows Live.
Por supuesto Samsung también aclaró el punto en su blog titulando "Las portables Samsung de hecho son seguras".
El sitio Networkworld realizó las actualizaciones de las notas a medida que se fue develando el verdadero origen del asunto, para al final cambiar el título a: El keylogger de Samsung puede ser una falsa alarma.
Como decíamos al principio estos casos no son frecuentes pero no dejan de suceder, es propio de cualquier producto de software que tenga errores, tal como comentaba hace algunos años Hispasec. Tambien aqui hemos relatado otros casos como este de AVG que dejaba inutilizada la PC(de varios), o también falsos positivos de McAfee, como así TrendMicro y Symantec han tenido sus problemas al igual que muchas marcas más.
Esta noticia inicialmente mala sobre Samsung se difundió rápidamente aunque no tanto la corrección tras hallarse que se trató de un falso positivo de un antivirus en particular.
Raúl de la Redacción de Segu-Info
Las computadoras ni los programas de software entienden de falsos positivos, ni tampoco hacen excepciones.
ResponderBorrarQue bueno que esta falsa alarma de VIPRE ya se soluciono.
De más esta decir que con esto vipre izo un poco de publicidad poque yo ni siquiera sabia de la existencia de vipre
Hola cibernético,
ResponderBorrarDesconozco si VIPRE pudo haber hecho esto adrede con fines publicitarios y apostaría que no. La publicidad generada por el evento es negativa y una causa usual para que un AV pierda algunos clientes.
Además los falsos positivos son un item que cuenta, en contra, en las comparativas de productos de AV.
Es sabido que una de las pocas razones por las que una organización, o una persona, cambiarían su AV es debido a una falla que dañe el normal funcionamiento o que genere alarmas innecesarias.
Imagina si eso sucede en una red de 1000 equipos y una mañana llaman todos, desde el gerente general hasta los usuarios de finanzas a la Mesa de Ayuda reportando esta detección (falsa).
Es muy probable que el mismo CEO no apruebe la renovación del producto o pida que sea reemplazado. Y probablemente el encargado de sistemas propondrá cambiar el producto (porque lo cree conveniente o para satisfacer a su jefe) y en ese caso tendrá apoyo para enfrentar el mayor gasto que generalmente ocasiona esto.
No digo que siempre sea así, pero los mismos vendedores de AV hace tiempo me cuentan que ese es un motivo usual para ganar un nuevo cliente.
Saludos