Máy tính Lenovo tự thu thập những thông tin gì?
Phần mềm "Lenovo Service Engine" nghi là độc hại, cài đặt trên máy tính Lenovo có thể gửi nhiều thông tin thu thập được về máy chủ Lenovo mà không hỏi ý kiến người dùng.
Vừa qua, Ban chỉ đạo bảo vệ bí mật nhà nước TP.Hải Phòng và UBND tỉnh Quảng Ninh đã có văn bản gửi tới các sở ban ngành, UBND các quận huyện tại địa phương, khuyến nghị về việc kiểm tra bảo mật các máy tính của hãng Lenovo đang được sử dụng tại các cơ quan nhà nước.
Một phần nội dung công văn về việc "Máy tính Lenovo cài đặt phần mềm điều khiển trước khi xuất xưởng".
Theo văn bản này, từ tháng 10.2014 đến tháng 6.2015, một số dòng máy tính của hãng Lenovo có cài đặt sẵn phần mềm có tên "Lenovo Service Engine" (viết tắt là LSE) vào BIOS trên bo mạch chủ của máy tính trước khi xuất xưởng.
Trong lần đầu kết nối internet, LSE sẽ tự động tải thêm về máy tính phần mềm "Onekey Optimizer" - đây là phần mềm từng được mang ra tranh luận rất nhiều trên các diễn đàn mạng về việc có nên xóa bỏ hay không.
LSE được tích hợp vào BIOS, do đó dù người dùng cài đặt lại hệ điều hành hay định dạng ổ cứng thì trong lần khởi động đầu tiên, hệ điều hành cũng sẽ tự động tìm lại phần mềm đó trong BIOS để thực thi.
LSE thu thập những thông tin gì?
Đó là đánh giá của một chuyên gia chuyên nghiên cứu về lĩnh vực bảo mật và phục hồi dữ liệu tại TP.HCM. Theo chuyên gia này, LSE không thu thập tên tuổi, tài khoản mạng xã hội, tài khoản ngân hàng của người dùng; thay vào đó LSE sẽ thu thập các yếu tố xã hội (thói quen sử dụng máy tính, thời gian tắt/mở máy, phần mềm được sử dụng thường xuyên,...) và các thông tin về cấu hình máy.
Một dòng máy tính Lenovo có cài đặt sẵn LSE.
"Đây chỉ là chuyện cũ thôi, đã xảy ra từ lâu rồi. Hãng bảo có bản vá nhưng thật ra chỉ như "bình cũ rượu mới". Các thông tin LSE thu thập chẳng hạn như người dùng làm gì, ở đâu, ưa thích cái gì, phần mềm được sử dụng nhiều nhất,... chứ không liên quan nhiều tới thông tin cá nhân của người dùng", vị chuyên gia bảo mật nói.
Cũng theo chuyên gia bảo mật, hành động của Lenovo cũng như nhiều hãng khác đã và đang làm hiện nay. Vấn đề là LSE được cài đặt cứng vào firmware của BIOS, kiểu như "nhà của tôi, tôi muốn làm gì thì làm"; trong khi đó các hãng khác đều đưa ra tùy chọn cho người dùng là muốn hay không muốn chia sẻ thông tin.
Vị chuyên gia đưa ra so sánh: Apple cũng thu thập, mã hóa dữ liệu và gửi về máy chủ, nhưng đó là thông tin máy xài nóng, tốn pin, các lỗi phát sinh,... để giúp Apple làm các bản vá về sau tốt hơn, hoàn thiện hơn. LSE cũng giống như vậy, nhưng dường như các bản sau chưa thật sự thừa hưởng những cái mới từ đóng góp của khách hàng.
"Thật ra, Lenovo có thể nói là thu thập để marketing, chẳng hạn thu thập phần mềm để biết người dùng thích cái gì nhất, từ đó thâu tóm hãng phát triển ra nó. Các tập tin dữ liệu khi gửi về máy chủ Lenovo cũng đã được mã hóa và chỉ Lenovo mới đọc được, vấn đề là họ sử dụng nó với mục đích gì?", vị chuyên gia bảo mật đặt câu hỏi.
Đặc biệt, sau khi nghiên cứu kỹ lưỡng hoạt động của LSE, vị chuyên gia này khẳng định: Chỉ cần máy tính có kết nối mạng là các dữ liệu bị thu thập sẽ đồng bộ lên máy chủ Lenovo. Không chỉ vậy, khi máy tính không có kết nối internet thì LSE cũng thu thập thông tin, đợi tới lúc có kết nối là sẽ gửi tới máy chủ Lenovo ngay lập tức.
Cơ chế hoạt động của LSE
Cũng theo nội dung văn bản của Ban chỉ đạo bảo vệ bí mật nhà nước TP.Hải Phònp, cơ chế hoạt động của LSE theo các bước cơ bản:
- Đầu tiên, LSE sẽ thay thế tập tin hệ thống mặc định của hệ điều hành Microsoft Windows có tên "autochk.exe" bằng tập tin mới cùng tên do Lenovo tạo ra.
- Khi người dùng xóa tập tin bị thay thế hoặc khôi phục lại tập tin gốc của Microsoft Windows, thì tập tin "autochk.exe" của Lenovo vẫn tiếp tục thế chỗ trong lần khởi động tiếp theo.
- Trong quá trình hệ điều hành khởi động, tập tin "autochk.exe" của Lenovo sẽ kiểm tra lại đường dẫn "%systemroot%\system32" xem có đang chứa 2 tập tin LenovoCheck.exe và LenovoUpdate.exe hay không, nếu không thì LSE sẽ tự động thêm vào.
- Trong lần khởi động tiếp theo, LenovoCheck.exe và LenovoUpdate sẽ được quyền hạn cao nhất, như tự động kết nối ngay đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tự động tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.
LSE hoạt động được là nhờ tính năng "Windows Platform Binary Table" của hệ điều hành Windows, chỉ mới xuất hiện từ phiên bản Windows 8. Tính năng này cho phép các tập tin thực thi có thể được lưu lại tại BIOS và tự động thực thi trong quá trình khởi động máy tính, với mục đích giúp các công ty sản xuất máy tính có thể duy trì các phần mềm quan trọng của hãng cả khi máy tính bị cài lại hệ điều hành sạch.
Văn bản cũng nhấn mạnh: "LSE hội đủ các đặc tính của phần mềm gián điệp với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy tính và can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành Windows".
Đại diện Lenovo Việt Nam nói gì? Trả lời PV qua email, đại diện Lenovo Việt Nam cho biết 2 vấn đề: Đầu tiên là việc thu thập thông tin qua LSE: LSE tự động gửi một vài dữ liệu hệ thống cụ thể về máy chủ Lenovo, để giúp Lenovo hiểu rõ các khách hàng của mình sử dụng sản phẩm ra sao. Những dữ liệu này hoàn toàn không chứa các thông tin cá nhân của người dùng. Dữ liệu bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy (dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành). Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với internet. Thứ hai là việc lỗ hổng bảo mật có thể bị hacker khai thác thông qua LSE: Một nhà nghiên cứu bảo mật độc lập đã chỉ ra nguy cơ rủi ro nếu hacker thông qua phần mềm này để tấn công các dòng máy tính xách tay Lenovo, bao gồm tấn công tràn bộ đệm và cố gắng kết nối với máy chủ kiểm định của Lenovo. Vì thế, ngay khi phát hiện lỗ hổng bảo mật này, Lenovo đã phát hành bản nâng cấp BIOS, loại bỏ hoàn toàn LSE, và cũng là loại bỏ nguy cơ bị tấn công qua lỗ hổng này. |