Cách thức hoạt động của phần mềm theo dõi trên máy tính Lenovo
Ngày đăng: 05/01/2016Lượt xem: 1766
Giữa năm 2015, hãng máy tính Trung Quốc bị phát hiện cài phần mềm Lenovo Service Engine (LSE) trên thiết bị của người dùng. Chương trình này chạy ngầm và hoạt động như một phần mềm gián điệp cũng như rất khó gỡ bỏ khỏi hệ thống. Giữa tháng 12/2015, Ủy ban Nhân dân TP Hải Phòng đã gửi công văn yêu cầu các cơ quan, đơn vị trực thuộc không dùng máy tính Lenovo.
Phần mềm LSE được cài trên các máy tính chạy Windows 7 và Windows 8 của Lenovo. |
Cả máy tính chạy Windows 7 và Windows 8 của Lenovo đều bị ảnh hưởng, nhưng được triển khai theo cách khác nhau. Trên Windows 7, hệ thống kiểm ra xem liệu file autochk.exe do Lenovo hay Microsoft cung cấp. Nếu đó là file mặc định của Microsoft, nó sẽ chép sang một vị trí khác rồi thay thế bằng file của Lenovo.
Nó cũng ghi file LenovoUpdate.exe và LenovoCheck.exe vào thư mục System32. Những hoạt động này diễn ra khi Windows trên máy tính mới của người dùng lần đầu kích hoạt. Còn trên Windows 8, hệ thống sẽ sao chép file của Microsoft là wpbbin.exe vào System32 và sử dụng nó để xử lý mã khi BIOS khởi động.
Với cả hai cách, sau khi cài đặt trên Windows, người dùng sẽ được thông báo rằng để giúp máy hoạt động ổn định, an toàn hơn, họ cần cài đặt phần mềm tùy biến hệ thống. Phần mềm này được xác định là Lenovo Service Engine (LSE). Nếu chấp nhận, LSE sẽ tự động tải xuống phần mềm riêng biệt có tên OneKey Optimizer.
Quá trình khởi động tiếp theo, LenovoCheck.exe và LenovoUpdate sẽ kết nối đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.
Đại diện Lenovo Việt Nam cho biết việc LSE tự động gửi dữ liệu hệ thống về máy chủ là "để giúp Lenovo hiểu rõ khách hàng của mình sử dụng sản phẩm ra sao. Những dữ liệu này hoàn toàn không chứa thông tin cá nhân của người dùng, mà bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với Internet".
LSE khó xóa bỏ khỏi máy tính của người dùng. |
Tuy nhiên, theo ông Ngô Tuấn Anh, Phó chủ tịch Bkav, phần mềm này được cài vào BIOS (phần điều khiển dưới mức hệ điều hành) nên rất khó xóa bỏ, tự cài đặt lại khi người dùng xóa theo cách thông thường. Có nghĩa, máy tính cá nhân của người dùng không còn là tài sản của riêng họ nữa.
"Có thể hiểu LSE là phần mềm 'mồi', có thể cài bất cứ phần mềm nào sau đó theo yêu cầu của nhà sản xuất mà người dùng không biết. Phần mềm này được cài ở mức phần cứng của hệ thống nên khó nhận biết, nếu bị khai thác với mục đích xấu thì máy tính có thể bị kiểm soát, đánh cắp dữ liệu hoặc trở thành máy tính ma (botnet) được huy động vào các cuộc tấn công từ chối dịch vụ", ông Tuấn Anh nhận định. "Việc cài đặt phần mềm theo dõi hành vi của người sử dụng mà không thông báo hoặc thông báo một cách không rõ ràng, nhất là việc cài đặt sẵn đối với các máy tính mới từ nhà sản xuất khiến người sử dụng rất khó nhận biết và có thể ảnh hưởng tới thông tin cá nhân của người sử dụng".
Nguy hiểm hơn nữa, chuyên gia bảo mật Roel Schouwenberg đã phát hiện một lỗi tràn bộ đệm trong LSE có thể bị kẻ xấu khai thác để giành quyền kiểm soát máy tính ở cấp độ cao nhất. Lenovo cho biết, lỗ hổng bảo mật này có liên quan tới cách thức Lenovo sử dụng cơ chế Microsoft Windows trong tính năng LSE ở bản firmware BIOS được cài đặt trên máy tính người dùng của hãng.
Minh Minh