Flight Sim Labs, Hersteller verschiedener Add-ons für den Microsoft Flight Simulator X, ist wegen angeblich in einem seiner Produkte enthaltener Malware in Schwierigkeiten geraten.
Flight Sim Labs stellt verschiedene Flugzeuge für beliebte Flugsimulatoren her, z. B. den Concorde-X. Oder andere Tools, mit denen Sie die Beleuchtung Ihres Flugzeugs steuern können. Aber ein Installationsprogramm für ein Flugzeug, den A320-X, verursachte bei einigen Benutzern Antivirenwarnungen. Der Reddit-Nutzer crankyrecursion untersuchte seine Kopie des Installationsprogramms einfach aus Neugier und fand die eingebettete Malware. Daraufhin postete der Benutzer einen Hinweis für andere Spieler.
… es scheint eine Datei namens ‚ test.exe‚ enthalten zu sein. Diese.exe-Datei… wird als ‚Chrome Password Dump‘-Tool angepriesen, was zu funktionieren scheint – insbesondere, da das Installationsprogramm normalerweise mit Administratorrechten (UAC-Eingabeaufforderungen) unter Windows Vista und höher ausgeführt wird.
Die fragliche Malware stammt von einer ausführbaren Datei, die in das Installationsprogramm eingebunden ist (Das fragliche Installationsprogramm ist (FSLabs_A320X_P3D_v2.0.1.231.exe) für dieses Add-on. Der von test.exe gestartete Prozess injiziert Code in Chrome-Browserprozesse, um Passwörter aus dem Chrome-Passwortspeicher zu stehlen.
Diese alarmierende Datei wurde von FSL angesprochen. In diesem Forumsposting klärt der Entwickler darüber auf, was die Datei ist, warum sie da ist und wie sie funktioniert. Aufgrund der Wichtigkeit dieser Geschichte kopiere ich sein Zitat und füge es unten ein.
1) Zunächst einmal: Es werden keine Tools verwendet, um sensible Informationen von Kunden preiszugeben, die unsere Produkte rechtmäßig erworben haben. Wir sind uns bewusst, dass Sie viel Vertrauen in unsere Produkte setzen, und dies würde unserer Überzeugung zuwiderlaufen.
2) Es gibt eine spezielle Methode, die gegen bestimmte Seriennummern eingesetzt wird, die als Raubkopien identifiziert wurden und auf ThePirateBay, RuTracker und anderen bösartigen Seiten die Runde gemacht haben.
3) Wenn eine solche spezifische Seriennummer von einem Raubkopierer (einer Person, die sich unsere Software illegal beschafft hat) verwendet wird und das Installationsprogramm dies mit den in unserer Server-Datenbank gespeicherten Raubkopier-Seriennummern abgleicht, ergreift es spezielle Maßnahmen, um uns zu warnen. Test.exe ist Teil des DRM und richtet sich nur gegen bestimmte Raubkopien von urheberrechtlich geschützter Software, die illegal erworben wurde. Dieses Programm wird nur vorübergehend extrahiert und wird unter keinen Umständen in legitimen Kopien des Produkts verwendet. Der einzige Grund, warum diese Datei nach Abschluss der Installation erkannt wird, ist, dass sie mit einer Raubkopien-Seriennummer (nicht mit Nummern auf der schwarzen Liste) verwendet wurde.
Er führt weiter aus, dass diese Methode erfolgreich war, um diejenigen zu erwischen, die ihre Inhalte gestohlen haben, und dass sie in laufenden Rechtsstreitigkeiten eingesetzt wird.
Das bedeutet, dass FSL vertrauliche Informationen stiehlt und sie dann verwendet, um Nutzer zu identifizieren und vermeintliche Raubkopierer zu verklagen. Datenschutzgesetze, die diese Art von Verhalten betreffen, sind weit verbreitet. In den meisten europäischen Ländern gibt es Gesetze zum Schutz der Privatsphäre der Verbraucher, die in diesen Fällen Anwendung finden können. Und die meisten formellen Gerichte haben vorgeschriebene Offenlegungsprozesse, die eingehalten werden müssen, wenn Beweise im Rahmen eines Prozesses vorgelegt werden sollen. Kurzum, was FSL tut, ist wahrscheinlich in mehr als einer Hinsicht illegal.
Dies ist auch nicht das erste Mal, dass ein Unternehmen im Namen von DRM etwas Illegales tut. Sony wurde mit einer Sammelklage wegen der Verwendung eines Rootkits in seinen Produkten konfrontiert. Sie haben diesen Fall übrigens verloren.
Unabhängig davon, ob die Datei selbst nur vorübergehend ist, ist es klar, dass FSL etwas getan hat, das die Privatsphäre ihrer Nutzer verletzt. Es kann auch nicht garantiert werden, dass unschuldige Nutzer nicht von der Schadsoftware betroffen sind, vorausgesetzt, die Behauptungen, es handele sich um ein DRM-System, sind wahr.
Und offen gesagt ist es nicht wirklich ein DRM-System, sondern vielmehr ein Mechanismus zur illegalen Identifizierung von Nutzern oder zum Doxing.
Um die zu Recht verärgerten Verbraucher zu beruhigen, hat FSL eine weitere Erklärung abgegeben:
Ich möchte noch einmal bekräftigen, dass wir als Unternehmen und als Flugsimulator niemals wissentlich das Vertrauen verletzen würden, das Sie in uns gesetzt haben, indem Sie nicht nur unsere Produkte gekauft, sondern sie und FlightSimLabs unterstützt haben.
Während die meisten unserer Kunden verstehen, dass der Kampf gegen die Piraterie ein schwieriger und andauernder Kampf ist, der manchmal drastische Maßnahmen erfordert, ist uns klar, dass einige von Ihnen mit dieser speziellen Methode, die von uns als etwas zu hart angesehen werden könnte, nicht einverstanden waren. Aus diesem Grund haben wir ein aktualisiertes Installationsprogramm hochgeladen, das die betreffende DRM-Prüfdatei nicht enthält.
Ich möchte mich bei Ihnen allen dafür bedanken, dass Sie Ihre Bedenken in unseren Foren und anderswo auf rücksichtsvolle Weise geäußert haben. Wir hören auf unsere Kunden, denn ohne Sie gäbe es FlightSimLabs nicht.
Was halten Sie von dieser Art von Verhalten? Sind ihre Begründungen stichhaltig? Das Unternehmen hat inzwischen eine neue Version des Installationsprogramms veröffentlicht, die den Code zum Stehlen von Passwörtern nicht enthält, aber man kann mit Sicherheit sagen, dass der Ruf des Unternehmens bei vielen ehemaligen Fans angeschlagen ist.