Máy tính Lenovo cài mã độc

Tháng 2/2015, một số chuyên gia bảo mật đã phát hiện máy tính của hãng Lenovo Trung Quốc cài đặt sẵn phần mềm độc hại Superfish Visual Discovery. Theo Lenovo, phần mềm này không theo dõi hoạt động của người dùng, mà để giúp người dùng có trải nghiệm mua sắm tốt hơn trên máy tính. Nhưng trên thực tế, phần mềm Superfish Visual Discovery có thể tự động chèn quảng cáo vào website khi người dùng sử dụng trình duyệt Chrome và Internet Explorer. Ngay sau đó, Lenovo đã phải cung cấp công cụ hỗ trợ gỡ bỏ phần mềm này.

Sáu tháng sau vụ việc trên, hãng Lenovo một lần nữa lại bị phát hiện cài sẵn phần mềm Lenovo Service Engine (LSE) trên các thiết bị trước khi xuất xưởng. Phần mềm này hoạt động như một phần mềm gián điệp, cài đặt sẵn vào BIOS và được kích hoạt ngay khi máy tính khởi động. Chuyên gia bảo mật Roel Schouwenberg đã phát hiện một lỗi tràn bộ đệm trong LSE có thể bị tin tặc khai thác để giành quyền kiểm soát máy tính. LSE được cài đặt sẵn trên các máy tính xách tay chạy HĐH Windows 7, 8 và 8.1 (13 dòng máy) và máy tính để bàn chạy HĐH Windows 8 và 8.1 (14 dòng máy). LSE hoạt động dựa trên một tính năng mới Windows Platform Binary Table xuất hiện từ phiên bản Windows 8. Tính năng này cho phép các tập tin thực thi có thể lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính, với mục đích giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng ngay cả khi cài đặt lại hệ điều hành.

Cơ chế hoạt động của LSE gồm ba bước sau:

Đầu tiên, LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành, kể cả Microsoft Windows có tên “autochk.exe” bằng tập tin mới cùng tên nhưng do Lenovo tạo ra khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin cũ của Microsoft Windows, LSE vẫn tiếp tục hoạt động trong phần khởi động tiếp theo. Trong quá trình hệ điều hành khởi động, tập tin “autochk.exe” của Lenovo sẽ kiểm tra lại hướng dẫn “%systemroot%\ system32” xem có đang chứa 2 tập tin Lenovo Check.exe và LenovoUpdate.exe hay không, nếu không LSE sẽ tự động đưa vào. Quá trình khởi động tiếp theo, LenovoCheck.exe và Lenovo Update.exe sẽ sử dụng quyền quản trị administrator, tự động kết nối đến máy chủ của Lenovo để gửi các thông tin cơ bản của máy tính và tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.

Tháng 8/2011, một nhóm nghiên cứu của Microsoft ở Trung Quốc đã mua 20 máy tính mới của một công ty ở Quảng Đông và phát hiện số máy tính này đều được cài Windows không có bản quyền. Bốn trong số đó có chứa mã độc, đáng chú ý nhất là sâu Nitol, bởi nó được kích hoạt ngay lần đầu mở máy mà không đòi hỏi bất cứ thao tác nào khác. Sâu Nitol lập tức tạo cổng hậu, dò tìm những máy tính khác thông qua kết nối Internet và qua thiết bị cắm ngoài (như ổ USB), nhân bản và lây nhiễm một cách nhanh chóng, tạo nên một mạng lưới máy tính ma khổng lồ.

Điện thoại thông minh chứa nhiều phần mềm gián điệp

Năm 2011, Score - mẫu điện thoại phổ thông giá rẻ khoảng 65 USD của ZTE (Trung Quốc) bán tại Mỹ bị phát hiện tồn tại một số lỗ hổng bảo mật, chứa phần mềm gián điệp dạng cổng hậu. Lỗ hổng bảo mật này khiến dữ liệu cá nhân và thông tin trên điện thoại có thể bị xâm phạm. Lỗ hổng bảo mật này còn xuất hiện ở một số dòng điện thoại khác của ZTE như Skate hay Cricket. Thông thường, các lỗ hổng bảo mật xuất phát do hệ điều hành hoặc nhà cung cấp mạng. Tuy nhiên, lỗ hổng trên các sản phẩm của ZTE lại bị nghi ngờ xuất phát từ chính nhà sản xuất phần cứng. Thậm chí, có ý kiến cho rằng ZTE có thân cận với chính phủ Trung Quốc, nên những lỗ hổng này còn liên quan tới những mục đích ngoài kinh doanh.

Đến năm 2012, Ủy ban Tình báo Hạ viện Mỹ khuyến cáo các hãng viễn thông Mỹ không nên hợp tác với hai công ty sản xuất thiết bị mạng lớn nhất Trung Quốc là Huawei Technologies và ZTE. Theo họ, việc sử dụng các thiết bị công nghệ của 2 hãng này có thể sẽ đe dọa đến an ninh quốc gia Mỹ. Có nhiều ý kiến cho rằng, Huawei là công cụ để Trung Quốc sử dụng với các mục đích chính trị và an ninh quốc phòng. Báo cáo của cơ quan này cũng cho biết, một số lượng lớn các công ty từng dùng thiết bị của Huawei đã thông báo về “hàng loạt trường hợp” bất thường xảy ra với mình, trong đó có việc router gửi một lượng lớn dữ liệu về Trung Quốc vào ban đêm. Mối nghi ngờ này càng được củng cố khi trong suốt 11 tháng điều tra, Huawei và ZTE đều có thái độ bất hợp tác. Ngoài ra, báo cáo cũng đề nghị Ủy ban quản lý Đầu tư nước ngoài của Mỹ thực hiện đánh giá các nguy cơ này, đồng thời chặn tất cả các thương vụ của Huawei và ZTE. Chính phủ Mỹ và các công ty tư nhân cũng được khuyến nghị nên tìm một hãng khác để cung cấp thiết bị mạng.

Đáng chú ý là, Mỹ không phải nước đầu tiên đề phòng Huawei. Tháng 3/2012, chính phủ Australia cũng ra lệnh cấm công ty này ký kết hợp đồng cung cấp thiết bị kết nối băng thông rộng tại đây, do lo ngại an ninh quốc gia. Cùng năm này, Canada cũng loại Huawei khỏi các dự án mạng lưới thông tin liên lạc với lý do tương tự.

Trong một diễn biến khác, vào tháng 6/2014, điện thoại Star N9500 được sản xuất tại Trung Quốc cũng bị phát hiện chứa sẵn trojan Uupay.D từ khi chưa mở hộp. Chương trình này hoạt động như kho ứng dụng Google Play Store, có thể thu thập, sao chép thông tin cá nhân, tự động ghi âm cuộc gọi, kích hoạt micro trên máy để nghe lén hay gửi tin nhắn tới các dịch vụ thu phí.

Không chỉ những sản phẩm ít tên tuổi của Trung Quốc bị phát hiện cài đặt sẵn mã độc, mà ngay cả Xiaomi - hãng smartphone có tốc độ tăng trưởng nhanh nhất thế giới hiện nay cũng bị cáo buộc cài đặt sẵn mã độc trên sản phẩm. Vào tháng 3/2015, khi các chuyên gia của hãng bảo mật Bluebox (Mỹ) đã tiến hành một vài thử nghiệm trên chiếc smartphone Xiaomi Mi 4 và đã phát hiện một vài ứng dụng độc hại đã được cài đặt sẵn trên chiếc smartphone này. Bao gồm một ứng dụng quảng cáo được cải trang thành một ứng dụng của Google và một ứng dụng độc hại dạng trojan cho phép các tin tặc kiểm soát điện thoại từ xa. Các chuyên gia của Bluebox cũng phát hiện rất nhiều lỗ hổng bảo mật có thể khai thác trên Xiaomi Mi 4.

Tháng 9/2015, hãng bảo mật G Data gây xôn xao khi công bố gần 30 mẫu điện thoại Android, trong đó có của các thương hiệu nổi tiếng như Xiaomi, Huawei, Lenovo, bị cài sẵn chương trình gián điệp. Spyware này giả dạng là một ứng dụng phổ biến như Facebook, Google Drive khiến người dùng không cảnh giác. Chúng cũng rất khó bị gỡ bỏ do được lưu trong firmware (phần mềm hệ thống), có khả năng nghe lén các cuộc đàm thoại, sao chép danh bạ và thư viện ảnh, tải ứng dụng rác vào máy, đọc và gửi SMS, vô hiệu hóa phần mềm diệt virus, tra cứu lịch sử truy cập web....

Máy tính bảng cài sẵn mã độc

Trong năm 2014, Trang công nghệ Tech News (Đài Loan) đưa tin, phablet Redmi Note của Xiaomi có thể tự động gửi dữ liệu trên thiết bị về một máy chủ đặt tại Trung Quốc. Thông tin này được thành viên Kenny Li của diễn đàn IMA Mobile (Trung Quốc) cho biết: phablet Redmi Note thực hiện kết nối tới một địa chỉ IP ở Trung Quốc và truyền dữ liệu mỗi khi thực hiện kết nối Wi-Fi. Tuy nhiên, hiện tượng này không xảy ra với kết nối 3G. Ngay cả khi người dùng đã root máy và cài các bản firmware khác, máy vẫn tự động gửi dữ liệu cá nhân (ảnh và tin nhắn) về một máy chủ có địa chỉ IP ở Trung Quốc. Mặc dù vậy, Xiaomi đã phủ nhận điều này và cho biết đó thực chất là một tính năng của sản phẩm. Tuy nhiên, sau đó Xiaomi cũng đã phải phát hành bản nâng cấp phần mềm để hủy bỏ đi chức năng này. 

Tháng 11/2015, các chuyên gia của hãng bảo mật Cheetah Mobile Security Lab đã phát hiện các mẫu máy tính bảng có xuất xứ từ Trung Quốc cài đặt sẵn trojan có tên gọi Cloudsota rao bán trên trang thương mại điện tử Amazon. Phòng thí nghiệm Cheetah Mobile Security cho biết, khoảng 30 thương hiệu khác nhau của Trung Quốc, bao gồm SoftWinners, RockChip, WorryFree... đều có cài đặt sẵn loại mã độc này trước khi đến tay người dùng. Tất cả những máy tính bảng này đều có điểm chung là hoạt động trên nền tảng Android và có mức giá rẻ, phù hợp với nhu cầu của nhiều người. Ước tính đã có hơn 17.000 người dùng sử dụng các máy tính bảng độc hại trên 150 quốc gia. Mỹ, Mexico và Thổ Nhĩ Kỳ là những quốc gia có lượng người dùng bị ảnh hưởng nhiều nhất từ trojan Cloudsota. Thông qua trojan Cloudsota, các tin tặc có thể chiếm quyền điều khiển máy tính bảng từ xa, sau đó có thể gỡ bỏ những ứng dụng bảo mật, hay cài đặt thêm các ứng dụng độc hại khác trên thiết bị để thực thi thêm nhiều quyền hạn, cũng như lấy cắp thông tin của người dùng. Ngoài ra, mã độc này tự động thay đổi hình nền trên các thiết bị thành những hình ảnh quảng cáo, thay đổi trang chủ trên trình duyệt web và chuyển hướng kết quả tìm kiếm sang các website có chứa nội dung quảng cáo. Mã độc này được cài đặt trong firmware của thiết bị và tự khôi phục mỗi khi người dùng khởi động lại máy tính bảng. Do vậy, rất khó để có thể loại bỏ mã độc này khỏi thiết bị.

Kết luận

Bên cạnh việc cài đặt phần mềm gián điệp vào các thiết bị CNTT-VT, thì các tin tặc Trung Quốc cũng thường xuyên tấn công vào các hệ thống các quan, doanh nghiệp của các nước, trong đó có Việt Nam, nhằm đánh cắp dữ liệu người dùng…. Trước nguy cơ rủi ro thông tin, tháng 12/2015, Ủy ban Nhân dân Thành phố Hải Phòng đã gửi công văn số 557 yêu cầu các cơ quan, đơn vị trực thuộc không sử dụng máy tính Lenovo trong các hoạt động của cơ quan, đơn vị. Thông tin về các thiết bị CNTT-VT của Trung Quốc bị nghi ngờ cài mã độc, cổng hậu đã gây bức xúc cho người dùng. Mặc dù các hãng có thiết bị bị nghi ngờ đã lên tiếng phủ nhận, hoặc đã có động thái nâng cấp phần mềm. Nhưng, người dùng vẫn cần phải thận trọng trong việc lựa chọn sử dụng các sản phẩm CNTT-VT có nguồn gốc từ Trung Quốc.