Những bê bối bảo mật của Lenovo trong năm 2015

2015 là một năm đáng quên của hãng sản xuất máy tính lớn nhất thế giới Lenovo. Không chỉ dính bê bối về cài phần mềm quảng cáo, chỉ ít tháng sau đó, hãng này lại tiếp tục bị tố vì cài phần mềm tự động thu thập dữ liệu.

Tháng 2/2015, Lenovo, nhà sản xuất máy tính lớn nhất thế giới, bị tố cài đặt adware (phần mềm quảng cáo) vào máy tính bán ra cho người dùng. Với tên gọi Superfish, adware này có thể đưa các quảng cáo của bên thứ ba vào các kết quả tìm kiếm trên Google. Sau đó, Mark Hopkins, quản trị diễn đàn máy tính Lenovo, cho biết adware đã tạm thời bị gỡ bỏ nhằm trấn an dư luận. Tuy nhiên, người đại diện này cũng bảo vệ quan điểm rằng Superfish "giúp người dùng tìm kiếm và khám phá các sản phẩm một cách trực quan", có thể "phân tích tức thời các hình ảnh trên web để giới thiệu cho người dùng các sản phẩm có tính năng tương tự nhưng giá rẻ hơn".

Sự vụ chưa dừng lại ở đó, một bộ phận người dùng tố cáo rằng loại adware này còn có những chức năng nguy hiểm có thể tiếp tay cho hacker ăn cắp các thông tin cá nhân quan trọng của người dùng như tài khoản ngân hàng. Mike Shaver, một kỹ sư của Facebook, mới đây cũng phát hiện ra rằng Superfish đã cài một chứng chỉ "man-in-the-middle" có thể cho phép các bên thứ ba theo dõi các website bạn truy cập. 

Ban đầu, phía Lenovo chối bỏ điều này. Tuy nhiên, sau đó hãng này đã đưa thông tin xin lỗi chính thức lên Twitter với nội dung: “Chúng tôi xin lỗi. Chúng tôi đã làm đảo lộn mọi thứ. Chúng tôi xin thừa nhận. Và chúng tôi đảm bảo chuyện này sẽ không bao giờ xảy ra lần nữa. Superfish đã được gỡ bỏ hoàn toàn”.

Thế nhưng chỉ 6 tháng sau, Lenovo lại “dính phốt” khi bị người dùng tố cáo sử dụng firmware có khả năng tự động tải và cài các phần mềm của mình lên máy tính người dùng mà không hề báo trước. Theo đó, trên diễn đàn công nghệ Ars Technica, một số người dùng PC chạy Windows 7 và 8 của Lenovo tố cáo máy chứa một firmware có khả năng tự động tải và cài các phần mềm của công ty Trung Quốc ngay từ khi khởi động. Phần mềm có tên gọi “Lenovo Service Engine (LSE)” bị cài vào firmware của laptop trong một hệ điều hành cấp thấp hay còn gọi là “phần sụn” của máy tính (BIOS). Hệ thống này thậm chí còn vô hình trên cả Windows. Nó sẽ được bật sẵn ngay khi máy tính khởi động và trước khi Windows được tải. Sau đó, nó sẽ thay thế chương trình chẩn đoán khởi động của Microsoft (chương trình giúp đảm bảo hệ thống tắt đúng quy trình, phần đĩa không bị can thiệp  và có thể khởi động Windows an toàn). Điều này đồng nghĩa với việc người dùng không có cách nào thoát khỏi chúng. Theo phía Lenovo, khi được kích hoạt nó sẽ tải về máy phần mềm Onekey Optimizer được dùng để tối ưu hiệu năng của máy tính bằng cách nâng cấp Firmware, driver và xóa các file rác không cần thiết.

Mới nghe thì có vẻ phần mềm Lenovo cài vào luôn mang lại những lợi ích tốt. Thế nhưng bên cạnh việc tối ưu hiệu năng cho máy, các phần mềm này còn kiêm thêm việc "thu thập thông tin người dùng" ví dụ như thói quen dùng máy tính. Ngoài ra, việc ép buộc người dùng tải các chương trình ngay khi mới khởi động máy tính gây ra nhiều nguy cơ bảo mật bởi hacker có thể giả mạo máy chủ và cài malware vào máy tính nạn nhân mỗi lần khởi động lại máy

 

Ngày 31/7, lỗ hổng do chính Lenovo tạo ra đã bị khai thác để cài phần mềm độc hại lên máy tính người dùng và Lenovo buộc phải tung ra giải pháp để khắc phục qua một bản BIOS mới cho các máy laptop Lenovo nhằm sửa chữa sai lầm trong quá khứ. Tuy nhiên, bản vá này không được tự động cập nhật trên máy tính người dùng mà bắt buộc những người muốn không bị Lenovo chi phối phải tự tải về, tự cài đặt. Rõ ràng việc này là bất khả thi với những người không có kiến thức về sửa chữa máy tính.

Hiện nay, lổ hổng bảo mật này của Lenovo lại được đề cập đến trên báo chí và mạng internet trong nước, khi xuất hiện một văn bản của Ban chỉ đạo bí mật Nhà nước của thành phố Hải Phòng gửi các ban ngành cảnh báo về phần mềm LSE này. Liên quan đến vấn đề trên, trao đổi với ICTnews ngày 2/1/2016, đại diện Lenovo Việt Nam khẳng định việc thu thập thông tin của Lenovo qua LSE về bản chất là LSE tự động gửi một vài dữ liệu hệ thống cụ thể về máy chủ Lenovo để giúp Lenovo "hiểu rõ các khách hàng của mình sử dụng sản phẩm của mình ra sao".

Theo ICTNews

Thêm bình luận

Plain text

  • Không được dùng mã HTML.
  • Các địa chỉ web và email sẽ tự động được chuyển sang dạng liên kết.
  • Tự động ngắt dòng và đoạn văn.