Phần mềm gián điệp được cài lên máy tính thế nào

Hải Phòng yêu cầu các cơ quan không sử dụng máy tính Lenovo

Một công văn của Ủy ban Nhân dân TP Hải Phòng từ tháng 12/2015 yêu cầu các cơ quan, đơn vị trực thuộc không dùng máy tính Lenovo do nước ngoài sản xuất.

Công văn 557 của Ban Chỉ đạo bảo vệ bí mật nhà nước thành phố Hải Phòng.

Ban Chỉ đạo bảo vệ bí mật nhà nước thành phố Hải Phòng vừa phát đi Công văn số 557 yêu cầu các cơ quan đơn vị trực thuộc dừng ngay việc sử dụng máy tính của hãng Lenovo vì lý do an toàn, an ninh mạng... sau khi Bộ Công an thông báo về việc hãng máy tính này cài phần mềm điều khiển trên máy tính sử dụng hệ điều hành Windows trước khi xuất xưởng.

Nội dung công văn nêu: "Từ tháng 10/2014 đến tháng 6/2015, một số dòng máy tính của hãng Lenovo cài đặt sẵn phần mềm có tên 'Lenovo Service Engine' (viết tắt là LSE) vào BIOS trên bo mạch chính của máy trước khi xuất xưởng. Trong lần đầu tiên kết nối Internet, LSE sẽ tự động tải về máy tính phần mềm khác có tên 'Onkey Optimizer'. Do LSE được tích hợp vào BIOS nên khi người sử dụng máy tính cài đặt lại hệ điều hành hoặc định dạng lại ổ cứng thì trong lần khởi động đầu tiên, hệ điều hành cũng sẽ tự động tìm lại phần mềm đó trong BIOS để thực thi...

Quá trình khởi động tiếp theo, LenovoCheck.exe và LenovoUpdate sẽ tự động kết nối ngay đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định..."

LSE hoạt động xuất phát từ một tính năng mới của hệ điều hành Windows xuất hiện từ phiên bản Windows 8 tên là "Windows Platform Binary Table". Tính năng này cho phép các tập tin thực thi có thể được lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính với mục đích là giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng cả khi chúng bị cài lại hệ điều hành...

Văn bản cũng cho biết, LSE hội đủ các đặc tính của phần mềm gián điệp với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính và can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows.

Qua khảo sát tại một số đơn vị sở ban ngành tại Hải Phòng sáng nay, số lượng ban ngành sử dụng máy Lenovo rất ít. Ví dụ, quận Hồng Bàng, Sở Lao động Thương binh Xã hội và Sở tài chính Hải Phòng đều không sử dụng máy Lenovo. Quận Ngô Quyền có 2 bộ, sau khi nhận được công văn số 557 nói trên đã ngừng sử dụng và ngưng kết nối mạng tới 2 máy này.

Ảnh: Tuấn Hưng.

Tháng 2/2015, một số chuyên gia bảo mật phát hiện máy tính của hãng Trung Quốc được cài đặt sẵn phần mềm Superfish Visual Discovery. Lenovo cho rằng phần mềm không theo dõi hoạt động của người dùng và giúp họ có trải nghiệm mua sắm tốt hơn trên máy tính. Thực tế, đây là phần mềm độc hại, có thể tự động chèn quảng cáo vào trang web khi sử dụng trình duyệt Chrome và Internet Explorer. Lenovo sau đó đã công bố công cụ hỗ trợ gỡ bỏ phần mềm này.

Sáu tháng sau scandal trên, hãng máy tính Trung Quốc một lần nữa bị phát hiện cài sẵn phần mềm Lenovo Service Engine (LSE) trên thiết bị của người dùng. Các chuyên gia bảo mật cho biết, phần mềm này hoạt động như một phần mềm gián điệp, chạy ngầm và kích hoạt ngay khi máy tính bật lên, tự động tải về nhiều tập tin và rất khó gỡ bỏ khỏi hệ thống. Bên cạnh đó, một nhà nghiên cứu bảo mật độc lập đã phát hiện lỗ hổng có thể tạo điều kiện cho hacker thông qua phần mềm LSE để thực hiện tấn công thiết bị, như tấn công tràn bộ đệm và cố gắng kết nối với máy chủ kiểm định của Lenovo.

LSE được cài đặt sẵn trên các dòng máy tính hiệu Lenovo gồm máy tính xách tay chạy Windows 7, 8 và 8.1, và máy tính để bàn Windows 8 và 8.1. Phần mềm này không được cài đặt trong các dòng có thương hiệu Think (Xem danh sách).

Cách gỡ ứng dụng Lenovo Service Engine.

Đại diện Lenovo Việt Nam cho biết việc LSE tự động gửi một vài dữ liệu hệ thống về máy chủ là "để giúp Lenovo hiểu rõ khách hàng của mình sử dụng sản phẩm ra sao. Những dữ liệu này hoàn toàn không chứa thông tin cá nhân của người dùng, mà bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với Internet".

Trước thông tin hacker có thể khai thác lỗ hổng thông qua LSE, Lenovo đã phát hành bản nâng cấp BIOS để loại bỏ LSE và hiện phần mềm này không còn được cài đặt trên bất cứ máy tính mới nào của Lenovo.

Lenovo cũng soạn một tài liệu bằng tiếng Việt để hướng dẫn người dùng gỡ bỏ phần mềm LSE từ máy tính Lenovo mà họ đang sử dụng, đồng thời lập nhóm Hỗ trợ Kỹ thuật chuyên trách để hỗ trợ cho khách hàng nếu họ không tự mình xử lý vấn đề được.

Giang Chinh - Châu An

Theo VNE