Máy tính Lenovo cài “phần mềm gián điệp”

• Ngày 05/01/2016

• 2163 lượt xem

Ngày 4/1, Thiếu tướng Đỗ Hữu Ca, Giám đốc Công an, Phó trưởng Ban chỉ đạo bí mật nhà nước thành phố Hải Phòng, cho biết, ông đã ký văn bản gửi các cơ quan trực thuộc thành phố để cảnh báo về việc máy tính Lenovo cài đặt phần mềm điều khiển.

Từ tháng 10/2014 đến tháng 6/2015, một số dòng máy tính của hãng Lenovo đã được cài đặt phần mềm Lenovo Service Engine (LSE) vào BIOS trước khi xuất xưởng.

Phần mềm này hoạt động theo cơ chế, khi máy tính liên kết với Internet lần đầu, nó sẽ tạo ra các tập tin thay thế được phân quyền cao nhất, có thể tự động kết nối đến máy chủ của Lenovo để gửi thông tin cơ bản của máy tính tới, đồng thời tải các trình điều khiển và phần mềm khác do Lenovo chỉ định. Do phần mềm này được đặt trong BIOS nên kể cả khi cài đặt lại hệ điều hành Window, LSE có thể hoạt động trở lại ngay khi máy kết nối Internet.

Văn bản của Ban chỉ đạo bí mật nhà nước thành phố Hải Phòng yêu cầu các ngành, địa phương cần kịp thời phát hiện máy tính có cài đặt LSE ngăn ngừa nguy cơ lây nhiễm mã độc, dừng hoạt động ngay những máy tính Lenovo có chứa LSE. Ban chỉ đạo cũng khuyến nghị các cơ quan, đơn vị không lưu nội dung bí mật trên máy tính Lenovo…

Không chỉ Hải Phòng, UBND tỉnh Quảng Ninh cũng vừa khuyến nghị về việc kiểm tra bảo mật các máy tính của Hãng Lenovo đang được sử dụng tại các cơ quan nhà nước.

Đe dọa an toàn an ninh hệ thống mạng

Trong thông báo của Ban chỉ đạo bảo vệ bí mật nhà nước TP Hải Phòng do thiếu tướng Đỗ Hữu Ca - giám đốc Công an TP, phó trưởng ban - ký nêu rõ cơ chế hoạt động của LSE theo ba bước cơ bản: đầu tiên, LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành Microsoft Windows có tên “autochk.exe” bằng tập tin mới cùng tên nhưng do Lenovo tạo ra.

Khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin cũ của Microsoft Windows, LSE vẫn tiếp tục thay thế trong phần khởi động tiếp theo.

Trong quá trình hệ điều hành khởi động, tập tin “autochk.exe” của Lenovo sẽ kiểm tra lại hướng dẫn %systemroot%\system32 xem có đang chứa 02 tập tin LenovoCheck.exe và LenovoUpdate.exe hay không, nếu không LSE sẽ tự động đưa vào.

Trong quá trình khởi động tiếp theo, LenovoCheck.exe và LenovoUpdate sẽ được quyền hạn cao nhất, tự động kết nối ngay đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.

LSE hoạt động xuất phát từ một tính năng mới của hệ điều hành Windows xuất hiện từ phiên bản Windows 8 tên là “Windows Platform Binary Table”.

Tính năng này cho phép các tập tin thực thi có thể được lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính với mục đích là giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng cả khi chúng bị cài lại hệ điều hành.

Văn bản cũng cho biết LSE hội đủ các đặc tính của "phần mềm gián điệp" với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính và can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows.

LSE lấy quyền cao nhất và thực hiện các thay đổi quan trọng, tự động tải về nhiều tập tin, phần mềm theo chỉ định của Lenovo. Trong khi toàn bộ các hoạt động này nằm ngoài khả năng nhận biết và cho phép hay từ chối của người dùng.

Phần mềm “Lenovo Service Engine” có nguy cơ đe dọa an toàn an ninh hệ thống thông tin mạng.

“Không dùng máy tính Lenovo có chứa LSE”

Theo thiếu tướng Đỗ Hữu Ca, thông báo trên là thông báo nội bộ được gửi tới các cơ quan quản lý nhà nước để cảnh báo, khuyến nghị về tác hại của những máy tính Lenovo có chứa LSE.

Ban chỉ đạo của TP Hải Phòng cũng yêu cầu các sở, ban ngành tổ chức cho toàn thể cán bộ, công nhân viên nâng cao cảnh giác, áp dụng các biện pháp phòng ngừa, phát hiện máy tính Lenovo cài đặt phần mềm LSE, ngăn chặn nguy cơ lây nhiễm mã độc vào mạng máy tính cơ quan, đơn vị.

Chủ động tiến hành rà soát, kiểm tra, bảo mật các máy tính của Hãng Lenovo tại cơ quan, đơn vị và dừng hoạt động ngay những máy tính do Lenovo sản xuất có chứa LSE. Không lưu trữ thông tin, nội dung bí mật nhà nước trên máy tính của Hãng Lenovo, đồng thời khuyến nghị không trang bị mới, tiến tới loại bỏ các máy tính do Hãng Lenovo sản xuất.

Tương tự, trong công văn của UBND tỉnh Quảng Ninh cũng yêu cầu các cơ quan nhà nước trên địa bàn tỉnh không trang bị mới, tiến tới loại bỏ các máy tính do Hãng Lenovo sản xuất.

Từ ngày 4-1-2016, ông Đặng Huy Hậu, phó chủ tịch UBND tỉnh Quảng Ninh, cho biết từ đầu tháng 12-2015 đã nhận được thông báo của Bộ Công an về việc máy tính Lenovo có chứa phần mềm đe dọa an ninh bảo mật thông tin.

Hiện tại các sở, ban ngành trên địa bàn tỉnh đang trong quá trình rà soát việc sử dụng máy tính Lenovo khi trao đổi thông tin.

Theo ông Hậu, “phần mềm gián điệp” được cài đặt trong máy tính Lenovo chưa ảnh hưởng lớn đến công việc điều hành quản lý của các cơ quan nhà nước bởi những hoạt động, nội dung quan trọng, tài liệu bí mật được lưu trữ trên các máy tính khác hoặc bằng hình thức khác.

“Việc khuyến nghị không sử dụng máy tính Lenovo cài đặt "phần mềm gián điệp" là cần thiết để đảm bản an toàn thông tin của cơ quan nhà nước. Nếu không rà soát cẩn thận thì hậu quả rất khó lường.

Về mặt luật pháp cũng không có gì vi phạm bởi đây là thông báo nội bộ trong các cơ quan hành chính nhà nước, khi bỏ tiền ra trang bị máy tính phục vụ công việc mà máy tính lại không đảm bảo bảo mật thì tỉnh hoàn toàn có quyền lựa chọn sản phẩm khác an toàn hơn, hiệu quả hơn” - ông Hậu nói.

Không phải lần đầu

Qua tìm hiểu, chúng tôi được biết máy tính của Lenovo đã không ít lần bị “tố” cài sẵn phần mềm có thể theo dõi người dùng. Chẳng hạn hồi tháng 5-2015, các nhà nghiên cứu bảo mật tại IOActive (Mỹ) đã công bố chi tiết ba lỗ hổng bảo mật trong máy tính Lenovo cho phép hacker có thể vượt qua quá trình kiểm tra độ tin cậy của ứng dụng để phát tán mã độc.

IOActive cho biết các lỗ hổng bảo mật trên tác động đến một loạt các dòng máy tính của Lenovo từ ThinkPad, ThinkCenter, ThinkStation cho đến các dòng V, B, K và E.

Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCert) cũng từng phát hiện một số dòng máy tính của Lenovo sản xuất từ tháng 9-2014 đã bị cài đặt trước phần mềm độc hại dạng adware (phần mềm quảng cáo) có tên là Superfish VisualDiscovery (gọi tắt là Superfish).

Phần mềm này có thể thu thập thông tin từ các truy cập trên những máy tính bị cài đặt Superfish ngay cả khi các luồng dữ liệu đã được mã hóa bằng giao thức an toàn HTTPS và chèn thông tin quảng cáo vào lưu lượng web của người dùng.

Mặc dù lúc đó Lenovo tuyên bố đã gỡ bỏ phần mềm trên ra khỏi các máy tính của hãng sản xuất sau tháng 1-2015, nhưng những máy tính đã xuất xưởng trước đó vẫn có thể đã bị cài đặt phần mềm Superfish.

VNCERT nhận định Superfish là một nguy cơ gây mất an toàn thông tin mức nghiêm trọng, cho phép tin tặc tấn công đánh cắp thông tin trong các ứng dụng thư điện tử, giao dịch qua mạng.

Trước đó, năm 2013, Lenovo cũng từng bị các nước lớn như Mỹ, Anh, Úc, Canada, New Zealand cấm cung cấp thiết bị cho các hệ thống mạng quốc gia do lo ngại những hoạt động xâm nhập trái phép.

Cách đây gần tròn 1 năm, Lenovo đã cài đặt sẵn adware Superfish vào máy tính trước khi xuất xưởng để đến với người dùng. Đây là phần mềm có chức năng chính là quảng cáo, nhằm giúp các nội dung bên thứ 3 can thiệp trực tiếp vào kết quả tìm kiếm trên Google mỗi khi người dùng tìm kiếm thông tin. Đại diện bên Lenovo đã có những lời giải bày đến với người dùng, với nội dung tạm hiểu như sau: “hãng Lenovo đã cài đặt tiện ích (tính năng) này trên máy tính sẽ giúp cho người dùng dễ dàng tìm kiếm nội dung theo dạng tối ưu nhất”.

Tuy nhiên, một số người dùng đã nhận thấy “tiện ích” của Lenovo có khả năng tiếp tay cho hacker để ăn cắp các thông tin cá nhân, chẳng hạn như tài khoản thẻ tín dụng, điều này rất nguy hiểm cho người dùng hiện nay khi mà xu thế giao dịch bằng hình thức chuyển khoản đang dần thay thế bằng tiền mặt. Bên cạnh đó, Adware Superfish đã cài một chứng chỉ MITM (Man-in-the-Middle – chiếm quyền điểu khiển SSL) có thể cho phép các bên thứ ba theo dõi những website cá nhân người dùng đã từng truy cập. Tất nhiên, Lenovo cũng đã có lời chối cãi, sau đó rồi cũng chấp nhận điều sai và xin lỗi, đã gỡ bỏ adware Superfish, đi kèm lời hứa sẽ không lặp lại điều này một lần nữa.

Cách đây khoảng nửa năm, người dùng phát hiện Lenovo đã cài đặt bản firmware cho khả năng tự động tải, cài đặt những phần mềm của hãng mà không hề báo có bất cứ thông báo nào hết lên máy tính của người dùng. Một số người dùng máy tính chạy Windows 7 và 8 trên diễn đàn Ars Technica đã chỉ ra rằng, bản firmware mặc định từ nhà sản xuất đã cài đặt Lenovo Service Engine (LSE) vào BIOS cho khả năng tự động tải, cài các phần mềm của công ty Trung Quốc ngay từ khi khởi động. Điều này có nghĩa, LSE sẽ tự động kích hoạt trước khi máy tính nạp (tải) vào Windows, ngay tại thời điểm mà người dùng vừa bấm nút nguồn khởi động máy tính tầm khoảng 1 vài giây.

Tiếp theo đó, tiện ích Onekey Optimizer sẽ tự động tải về, với chức năng chính giúp tối ưu hóa hệ thống, dọn dẹp tậo tin rác, đem lại lợi ich cho người dùng. Tuy nhiên, phần mềm này này còn đảm nhận luôn vai trò thu thập thông tin cá nhân người dùng, điều này gây ra nỗi lo, điều bất an cho những người có dữ liệu nhạy cảm. Mặt khác, việc cài đặt và sử dụng phần mềm này của Lenovo sẽ dễ dàng tạo lỗ hổng an ninh, khiến cho hacker có thể giả mạo máy chủ, cài malware vào máy tính nạn nhân.

Thời gian mới đây, Ban chỉ đạo bảo vệ bí mật Nhà nước của thành phố Hải Phòng đã gửi các ban ngành cảnh báo về phần mềm Lenovo Service Engine (LSE) cài đặt vào BIOS trên bo mạch chính trước khi xuất xưởng. LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành Microsoft Windows có tên "autochk.exe" bằng tập tin mới cùng tên nhưng do Lenovo tạo ra. Thậm chí, khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin cũ của Microsoft Windows, LSE vẫn tiếp tục thay thế trong phần khởi động tiếp theo. Chi tiết về nội dung văn bản này, quý độc giả có thể xem qua tấm hình minh họa sau đây.

Căn cứ vào nội dung như trên, phần mềm LSE hoạt động “âm thầm” nằm ngoài khả năng nhận biết và cho phép hay chối từ của người dùng, tạm xem đây như là phần mềm thu thập “lén” thông tin cá nhân, hình thức hoạt động tương tự như phần mềm gián điệp.