Lenovo sử dụng Rootkit để bí mật cài đặt phần mềm không thể gỡ bỏ

Hai năm trước, công ty Trung Quốc Lenovo đã bị cấm cung cấp thiết bị cho mạng của các dịch vụ  thông minh và quốc phòng nhiều nước do những quan ngại về hoạt động hack và gián điệp. Đầu năm nay, Lenovo đã bị bắt quả tang bán máy tính xách tay cài đặt sẵn phần mềm độc hại Superfish. Một trong những nhà sản xuất máy tính Trung Quốc phổ biến nhất ‘Lenovo’ đã bị bắt gặp một lần nữa sử dụng một tính năng Windows ẩn để cài đặt phần mềm rootkit không mong muốn và không thể gỡ bỏ trên máy tính xách tay Lenovo cố định và các hệ thống máy tính để bàn bán ra. Tính năng này được gọi là “Lenovo Service Engine” (LSE) – một đoạn mã có gắn  firmware trên bo mạch chủ của máy tính. Nếu Windows được cài đặt, LSE tự động tải và cài đặt phần mềm riêng của Lenovo trong thời gian khởi động trước khi hệ điều hành của Microsoft được cài, ghi đè lên các tập tin hệ điều hành Windows. Một phần đáng lo ngại của các tính năng là nó sẽ lây nhiễm phần mềm cập nhật trình điều khiển, phần mềm, và các ứng dụng cài đặt sẵn khác vào máy tính Windows – ngay cả khi bạn xóa sạch hệ thống. Vì vậy, ngay cả khi bạn gỡ bỏ cài đặt hoặc xóa các chương trình phần mềm riêng của Lenovo, LSE ẩn trong firmware sẽ tự động đưa chúng trở lại ngay khi bạn bật máy hoặc khởi động lại máy tính. Người dùng tại một số diễn đàn trực tuyến đang chỉ trích Lenovo do động thái này và nghi ngờ rằng các hãng sản xuất máy tính Trung Quốc đã lắp đặt một “bootkit” mà tồn tại một hệ thống sau khi hệ thống bị xóa lại được cài đặt lại đầy đủ. Vấn đề này lần đầu tiên được phát hiện và báo cáo bởi người dùng vào tháng 5 khi sử dụng máy tính xách tay Lenovo mới nhưng đã được thông báo rộng rãi hôm thứ Ba.

Các chương trình không mong muốn này thực hiện những gì?

Đối với máy tính để bàn: Trong trường hợp máy tính để bàn, mô tả riêng của Lenovo nói rằng các phần mềm không gửi bất kỳ thông tin nhận diện cá nhân nào, nhưng sẽ gửi một số thông tin cơ bản, bao gồm cả các mô hình hệ thống, thời gian, khu vực, và hệ thống ID, đến một máy chủ Lenovo. Hơn nữa, công ty tuyên bố rằng quá trình này được thực hiện chỉ một lần, gửi thông tin đến máy chủ của nó chỉ khi một máy tính đầu tiên kết nối với Internet. Đối với tính xách tay: Tuy nhiên, trong trường hợp máy tính xách tay, phần mềm này làm khá nhiều. LSE cài đặt một chương trình phần mềm được gọi là OneKey Optimizer (OKO) có sẵn   trên nhiều máy tính xách tay Lenovo. Theo công ty, phần mềm OKO được sử dụng để nâng cao hiệu suất máy tính bằng cách “cập nhật phần mềm, trình điều khiển và các ứng dụng cài đặt sẵn” cũng như ” quét file rác và tìm các yếu tố ảnh hưởng đến hiệu suất hệ thống.” OneKey Optimizer thuộc thể loại “crapware”. Phần tồi tệ nhất là cả hai LSE cũng như OKO có vẻ không an toàn. Hồi tháng Tư, nhà nghiên cứu bảo mật Roel Schouwenberg báo cáo một số vấn đề bảo mật, bao gồm cả lỗi tràn bộ đệm và các kết nối mạng không an toàn, tới Lenovo và Microsoft. Điều này buộc Lenovo ngừng cài LSE trên các hệ thống mới của hãng được xây dựng từ tháng 6. Công ty cũng đã cung cấp bản cập nhật firmware cho máy tính xách tay bị lỗ hổng và hướng dẫn ban hành để vô hiệu hóa các tùy chọn trên các máy bị ảnh hưởng và làm sạch các file LSE. Trong khi đó, nhiều máy Flex và Yoga chạy một hệ điều hành bao gồm cả Windows 7, Windows 8 và Windows 8.1 bị ảnh hưởng bởi vấn đề này. Bạn có thể xem danh sách đầy đủ của máy tính xách tay và máy tính để bàn bị ảnh hưởng trên trang web của Lenovo. Lenovo đã từng đưa ra một tuyên bố chính thức, trong đó lưu ý rằng hệ thống được thực hiện từ tháng 6 trở đi đã có phần mềm BIOS loại bỏ vấn đề này, và không còn cài đặt Lenovo Service Engine trên máy tính cá nhân.

Làm thế nào để hủy bỏ Lenovo Service Engine (Rootkit)?

Để loại bỏ LSE từ máy bị ảnh hưởng, bạn phải làm thủ công. Thực hiện theo các bước đơn giản sau để làm điều đó: Biết về loại hệ thống của bạn (đó là một phiên bản 32-bit hoặc 64-bit của Windows) Trình duyệt đến Lenovo Security Advisory, và chọn đường dẫn cho máy Lenovo cụ thể của bạn. Nhấp vào nút “Date” cho các cập nhật mới nhất. Tìm kiếm “Lenovo LSE Windows Disabler Tool” và nhấp chuột vào biểu tượng Download bên cạnh phiên bản phù hợp với phiên bản Windows của bạn. Mở chương trình khi nó được tải về. Nó sẽ loại bỏ các phần mềm LSE.

THN