Phần mềm theo dõi trên máy tính Lenovo hoạt động thế nào

Giữa năm 2015, hãng máy tính Trung Quốc bị phát hiện cài phần mềm Lenovo Service Engine (LSE) trên thiết bị của người dùng. Chương trình này chạy ngầm và hoạt động như một phần mềm gián điệp cũng như rất khó gỡ bỏ khỏi hệ thống. Giữa tháng 12/2015, Ủy ban Nhân dân TP Hải Phòng đã gửi công văn yêu cầu các cơ quan, đơn vị trực thuộc không dùng máy tính Lenovo.

Phần mềm LSE được cài trên các máy tính chạy Windows 7 và Windows 8 của Lenovo.

Cả máy tính chạy Windows 7 và Windows 8 của Lenovo (xem danh sách) đều bị cài đặt sẵn phần mềm có tên Lenovo Service Engine (LSE) vào BIOS trên bo mạch chính của máy trước khi xuất xưởng. Trong lần đầu kết nối Internet, người dùng sẽ được thông báo rằng để giúp máy hoạt động ổn định, an toàn hơn, họ cần cài đặt phần mềm tùy biến hệ thống. Nếu chấp nhận, LSE sẽ tự động tải về máy tính phần mềm khác có tên Onekey Optimizer. Trong quá trình khởi động tiếp theo, chương trình sẽ tự động kết nối đến máy chủ của Lenovo để gửi lên một số thông tin cơ bản của máy tính, tải các trình điều khiển và phần mềm khác do Lenovo chỉ định.

Đại diện Lenovo Việt Nam cho biết việc LSE tự động gửi dữ liệu hệ thống về máy chủ là "để giúp Lenovo hiểu rõ khách hàng của mình sử dụng sản phẩm ra sao. Những dữ liệu này hoàn toàn không chứa thông tin cá nhân của người dùng, mà bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với Internet".

LSE khó xóa bỏ khỏi máy tính của người dùng.

Tuy nhiên, các chuyên gia cho rằng LSE hội tụ các đặc tính của phần mềm gián điệp với khả năng hoạt động ngầm ngay từ giai đoạn khởi động máy, can thiệp sâu vào các tập tin hệ thống mặc định của hệ điều hành. Theo ông Ngô Tuấn Anh, Phó chủ tịch Bkav, phần mềm này được cài vào BIOS (phần điều khiển dưới mức hệ điều hành) nên rất khó xóa bỏ, tự cài đặt lại khi người dùng xóa theo cách thông thường. Có thể nói, máy tính cá nhân của người dùng không còn là tài sản của riêng họ nữa.

"Có thể hiểu LSE là phần mềm 'mồi', có thể cài bất cứ phần mềm nào sau đó theo yêu cầu của nhà sản xuất mà người dùng không biết. Phần mềm này được cài ở mức phần cứng của hệ thống nên khó nhận biết, nếu bị khai thác với mục đích xấu thì máy tính có thể bị kiểm soát, đánh cắp dữ liệu hoặc trở thành máy tính ma (botnet) được huy động vào các cuộc tấn công từ chối dịch vụ", ông Tuấn Anh nhận định. "Việc cài đặt phần mềm theo dõi hành vi của người sử dụng mà không thông báo hoặc thông báo một cách không rõ ràng, nhất là việc cài đặt sẵn đối với các máy tính mới từ nhà sản xuất khiến người sử dụng rất khó nhận biết và có thể ảnh hưởng tới thông tin cá nhân của người sử dụng".

Nguy hiểm hơn nữa, chuyên gia bảo mật Roel Schouwenberg đã phát hiện một lỗi tràn bộ đệm trong LSE có thể bị kẻ xấu khai thác để giành quyền kiểm soát máy tính ở cấp độ cao nhất. Lenovo cho biết, lỗ hổng bảo mật này có liên quan tới cách thức Lenovo sử dụng cơ chế Microsoft Windows trong tính năng LSE ở bản firmware BIOS được cài đặt trên máy tính người dùng của hãng. Hãng Trung Quốc đã phát hành bản cập nhật phần mềm firmware BIOS mới để loại bỏ lỗ hổng bảo mật này.