Lenovo cài đặt phần mềm "gián điệp" vào máy tính?
Thiếu tướng Đỗ Hữu Ca, Phó trưởng ban chỉ đạo bảo vệ bí mật nhà nước, Giám đốc CA Hải Phòng đã ký văn bản gửi các sở, ban, ngành, quận, huyện của thành phố đưa ra cảnh báo về việc máy tính Lenovo cài đặt phần mềm điều khiển trước khi xuất xưởng.
Theo công văn đề ngày 18/12 thì ngày 7/12, Bộ Công an đã có thông báo về việc Lenovo cài phần mềm điều khiển trên máy tính sử dụng hệ điều hành Windows trước khi xuất xưởng.
Cụ thể, từ tháng 10/2014 đến tháng 6/2015, một số dòng máy tính của hãng Lenovo cài đặt sẵn phần mềm có tên “Lenovo Service Engine” (viết tắt là LSE) vào BIOS trên bo mạch chính của máy trước khi xuất xưởng.
Trong lần đầu tiên kết nối Internet, LSE sẽ tự động tải về máy tính phần mềm khác có tên "Onkey Optimizer". Do LSE được tích hợp vào BIOS nên khi người sử dụng máy tính cài đặt lại hệ điều hành hoặc định dạng lại ổ cứng thì trong lần khởi động đầu tiên, hệ điều hành cũng sẽ tự động tìm lại phần mềm đó trong BIOS để thực thi.
Cũng theo văn bản, cơ chế hoạt động của LSE theo ba bước cơ bản:
Đầu tiên, LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành Microsoft Windows có tên "autochk.exe" bằng tập tin mới cùng tên nhưng do Lenovo tạo ra.
Thậm chí, khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin cũ của Microsoft Windows, LSE vẫn tiếp tục thay thế trong phần khởi động tiếp theo.
Quá trình hệ điều hành khởi động, tập tin "autochk.exe" của Lenovo sẽ kiểm tra lại hướng dẫn %systemroot%\system32 xem có đang chứa 02 tập tin LenovoCheck.exe và LenovoUpdate.exe hay không, nếu không LSE sẽ tự động đưa vào.
Quá trình khởi động tiếp theo LenovoCheck.exe và LenovoUpdate sẽ được quyền hạn cao nhất, tự động kết nối ngay đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.
LSE hoạt động xuất phát từ một tính năng mới của hệ điều hành Windows xuất hiện từ phiên bản Windows 8 tên là "Windows Platform Binary Table".
Tính năng này cho phép các tập tin thực thi có thể được lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính với mục đích là giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng cả khi chúng bị cài lại hệ điều hành.
Theo thống kê đến nay, ngoài Lenovo chưa phát hiện các hãng sản xuất máy tính khác sử dụng tính năng mới này.
Văn bản cũng cho biết, LSE hội đủ các đặc tính của phần mềm gián điệp với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính và can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows.
LSE lấy quyền cao nhất và thực hiện các thay đổi quan trọng, tự động tải về nhiều tập tin, phần mềm theo chỉ định của Lenovo. Trong khi toàn bộ các hoạt động này nằm ngoài khả năng nhận biết và cho phép hay từ chối của người dùng.
Khuyến nghị không trang bị mới máy tính Lenovo
Văn bản khẳng định, phần mềm Lenovo Service Engine có nguy cơ đe dọa an toàn, an ninh hệ thống thông tin mạng của các quốc gia trên thế giới, trong đó, có Việt Nam.
Thực tế, ngày 17/5/2015, một lỗ hổng bảo mật được phát hiện trong LSE cho phép tin tặc có thể khai thác chiếm quyền điều khiển máy tính từ xa. Do vậy, văn bản đã yêu cầu Thủ trưởng các sở ban, ngành, địa phương, đoàn thể trong thành phố cần:
Tổ chức cho toàn thể cán bộ, công nhân viên nâng cao cảnh giác, đồng thời, áp dụng các biện pháp phòng ngừa, phát hiện máy tính Lenovo cài đặt phần mềm LSE ngăn chặn nguy cơ lây nhiễm mã độc vào mạng máy tính cơ quan, đơn vị.
Chủ động tiến hành rà soát, kiểm tra, bảo mật các máy tính của hãng Lenovo tại cơ quan, đơn vị và dừng hoạt động ngay những máy tính do Lenovo sản xuất có chứa LSE.
Không lưu trữ thông tin, nội dung bí mật nhà nước trên máy tính của hãng Lenovo, đồng thời khuyến nghị không trang bị mới, tiến tới loại bỏ các máy tính do hãng Lenovo sản xuất.
Trước đó, UBND TP Uông Bí (Quảng Ninh) cũng có thông báo gửi đến các cơ quan, đơn vị trên địa bàn thông báo về việc Lenovo cài phần mềm điều khiển trên máy tính sử dụng hệ điều hành Windows trước khi xuất xưởng.
Từ thực tế đó, UBND TP yêu cầu các phòng, ban, ngành, UBND các xã, phường:
Chủ động kiểm tra bảo mật các máy tính hãng Lenovo, không đặt các máy tính này ở những nơi có khả năng phát sinh các trao đổi quan trọng, bộ phận thiết yếu, cơ mật, lưu giữ bí mật nhà nước. Không trang bị mới, tiến tới loại bỏ các máy tính do Lenovo sản xuất.
Trước nữa, ngày 2/4/2015, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã gửi cảnh báo tới các cơ quan nhà nước về nguy cơ mất an toàn thông tin trên một số dòng máy tính Lenovo của Trung Quốc. Theo thông tin được cảnh báo, Trung tâm Ứng cứu khẩn cấp máy tính Hoa Kỳ (USCERT) đã công bố phát hiện một số dòng máy tính của Lenovo sản xuất từ tháng 9/2014 đã bị cài đặt trước phần mềm độc hại dạng adware có tên là Superfish VisualDiscovery (gọi tắt là Superfish).
Phần mềm này có thể thu thập thông tin từ các truy cập trên các máy tính bị cài đặt Superfish ngay cả khi các luồng dữ liệu đã được mã hóa bằng giao thức HTTPS và chèn thông tin quảng cáo vào lưu lượng web của người dùng. Do phần mềm Superfish sử dụng chứng thư số tin cậy từ hệ thống, trình duyệt sẽ không hiển thị bất kỳ cảnh báo nào về việc lưu lượng web đã bị giả mạo.
VNCERT đánh giá đây là một nguy cơ mất an toàn thông tin nghiêm trọng cho phép tin tặc giả mạo SSL, tấn công đánh cắp thông tin trong các ứng dụng thư điện tử, giao dịch qua mạng... VNCERT đề nghị các cơ quan, đơn vị phổ biến, cảnh báo và chỉ đạo thực hiện rà soát, gỡ bỏ, vô hiệu hoá phần mềm Superfish.
|