Trả lời báo giới Việt Nam về vụ máy tính Lenovo bị cơ quan chức năng Việt Nam phát hiện có cài đặt phần mềm dạng gián điệp, đại diện Công ty Lenovo tại Việt Nam cho biết mục đích của hãng chỉ là để có thể thu thập một số dữ liệu hệ thống nhằm giúp họ hiểu rõ hơn về khách hàng mà hoàn thiện sản phẩm tốt hơn.

Thực tế là không chỉ có Lenovo, mà hầu như các hãng sản xuất các thiết bị điện toán, di động và các thiết bị có tính năng kết nối Internet đều “khuyến mại” cho người dùng kèm theo tính năng thu thập thông tin về hệ thống và về người dùng phục vụ cho quá trình hoàn thiện và phát triển sản phẩm, cũng như cho việc chăm sóc khách hàng và duy trì khách hàng. Ngay cả những linh kiện như bo mạch chủ, card đồ họa,… cũng có tính năng kết nối giữa hệ thống của người sử dụng với máy chủ của nhà sản xuất. Và cũng không chỉ có thiết bị phần cứng mà các phần mềm và ứng dụng cũng vậy. Khi cài các ứng dụng, cả có phí lẫn tình thương mến thương, trên smartphone hay tablet, người dùng được yêu cầu cấp phép cho ứng dụng thu thập một số thông tin nào đó để gửi về nhà cung cấp ứng dụng. Phần lớn là bắt buộc phải cho phép như vậy thì người dùng mới có thể tiếp tục cài đặt ứng dụng mà xài. Các hệ điều hành cũng không nằm ngoài cuộc chơi, thậm chí còn thâm nhập sâu và chủ động hơn.

Bây giờ, ta hãy coi thử Lenovo đã làm gì mà nên nông nỗi này?

Thôi thì ta cứ cả tin rằng Lenovo chỉ có mục đích thu thập thông tin người dùng một cách “lành mạnh”. Nhưng cách mà họ làm dễ khiến cho giới giang hồ công nghệ coi là “bá đạo”.

Xét về công nghệ hay trong mối quan hệ nhà sản xuất – người tiêu dùng, việc kết nối và thu thập thông tin người dùng có ý nghĩa tích cực. Trước hết, nó giúp tạo mối liên hệ chặt chẽ và thường xuyên giữa hai bên. Kế đó là thông qua các thông tin hệ thống mà mình thu thập được, nhà sản xuất có thể biết sản phẩm của mình đang được sử dụng ra sao, đối tượng (phân khúc người dùng) nào sử dụng, sử dụng ở nước nào, nó hoạt động ra sao, có phát sinh những xung đột nào trong hệ thống hay không hay có bị những lỗi kỹ thuật nào không. Đó là những thông tin vô cùng quý giá cho bất cứ nhà sản xuất nào để hoàn thiện và phát triển sản phẩm tương lai. Và cũng nhờ giữ mối liên lạc như vậy, người dùng luôn được nhà sản xuất quan tâm và sẵn sàng phục vụ tốt hơn. Microsoft chẳng thể nào kịp thời phát thông báo cho người dùng Windows và các ứng dụng khác của mình biết phần mềm mà họ đang xài có lỗi nào đó hay có những tập tin cập nhật để cải thiện tính năng nếu như không có được những thông tin liên tục từ hệ thống người dùng. NVIDIA cũng nhờ giữ được mối liên hệ như vậy mà có thể thông báo cho người dùng biết vừa phát hành bộ driver card đồ họa mới thích hợp cho hệ thống của họ.

Nhưng mấu chốt của vấn đề chính là sự sòng phẳng, minh bạch và có sự đồng ý của người dùng. Nhà sản xuất có thể tích hợp tính năng thu thập thông tin vào sản phẩm của mình, nhưng mỗi lần chạy nó, trước tiên phải xuất hiện thông báo, liệt kê những thông tin cần thu thập và cho người dùng toàn quyền quyết định có chấp nhận hay không? Người dùng phải bỏ tiền ra mua thiết bị, linh kiện hay ứng dụng thì họ có toàn quyền với sản phẩm đó. Còn làm sao để có thể phục vụ tốt khách hàng của mình là chuyện của nhà sản xuất, nhưng tuyệt đối không được áp đặt hay xâm phạm quyền của khách hàng. Không ai chấp nhận chuyện nhà sản xuất cứ tự ý và lẳng lặng thu thập thông tin thuộc sở hữu của người dùng, đặc biệt là các thông tin cá nhân. Cũng không có chuyện hễ mua sản phẩm nào về xài là người tiêu dùng mặc nhiên phải chấp nhận điều đó. Chẳng lẽ tôi mua một chiếc smartphone, sau đó do tôi viết bài chê bai nhà sản xuất nên bị nhà sản xuất khóa máy từ xa?

Tất nhiên, người tiêu dùng cũng phải hiểu rõ rằng một khi đã đồng ý cho nhà sản xuất thu thập các thông tin từ hệ thống của mình, họ phải chấp nhận bất trắc, rủi ro. Bởi lẽ có trời mới biết người ta lấy đi những thông tin gì. Tất cả chỉ biết tin vào uy tín của thương hiệu nhà sản xuất. Nên mới nói là người tiêu dùng thông minh phải biết chọn thương hiệu mà gửi… tiền!

Bây giờ, ta hãy coi thử Lenovo đã làm gì mà nên nông nỗi này?

Thôi thì ta cứ cả tin rằng Lenovo chỉ có mục đích thu thập thông tin người dùng một cách “lành mạnh”. Nhưng cách mà họ làm dễ khiến cho giới giang hồ công nghệ coi là “bá đạo”.

Trong khi hầu hết nhà sản xuất khác tích hợp tính năng kết nối và thu thập thông tin người dùng dưới dạng ứng dụng phần mềm, hoặc nặng tay hơn cũng là một con chip (gọi là bọ), Lenovo đã tích hợp phần mềm Lenovo Service Engine (LSE) vào ngay BIOS (phần mềm điều khiển hệ thống) của bo mạch chủ máy tính. Do nằm ở cấp BIOS, phần mềm này sẽ tự động chạy ngay khi máy khởi động, chiếm quyền cao nhất trong hệ thống, có thể khống chế hay thay thế các tập tin mặc định của hệ điều hành. Có nghĩa là, thông qua phần mềm loại này, hãng sản xuất có thể từ xa điều khiển hệ thống của người dùng. Theo một số chuyên gia bảo mật, LSE sẽ tự động gửi về máy chủ của Lenovo những thông tin cơ bản của hệ thống, như mô hình, thời gian, nơi hoạt động,… và hầu như bất cứ thông tin nào theo lệnh. Điều nguy hiểm là do LSE được nhúng vào BIOS của bo mạch chủ, người dùng không thể xóa được phần mềm này, cho dù có thay ổ cứng và cài lại mới toàn bộ hệ thống. Và cũng chẳng có phần mềm phòng chống virus, mã nguồn độc nào có thể can thiệp vào nội bộ BIOS. Thông thường, khi có mã độc siêu tới mức chui vào nằm trong BIOS, nhà sản xuất phải cung cấp firmware xóa sạch BIOS cũ để thay bằng BIOS mới. Ngoài nhà sản xuất ra thì không ai có thể làm được chiêu thức này nếu không muốn “phế võ công” của cả hệ thống. Ở đây, một khi chính nhà sản xuất làm như vậy, thiên hạ chỉ còn có thể bó tay mà than trời.

Ngay cho dù Lenovo có trong trắng, ngây thơ đi nữa thì bản thân những phần mềm như LSE rất dễ có những lỗ hổng bảo mật nên là miếng mồi ngon cho giới tin tặc “hẩu xực”. Bằng chứng là hồi tháng 8-2015, giới bảo mật thế giới đã phát hiện một lỗ hổng của LSE cho phép tin tặc chiếm quyền điều khiển máy tính từ xa.

Dữ liệu và thông tin của ai thì người đó phải có ý thức tự gìn giữ, bảo vệ. Đó là chân lý. Còn trong những trường hợp như vụ Lenovo này, chẳng ai lại ngây ngô đi khuyên thiên hạ như vậy. Bởi lẽ người ta đã bỏ tiền ra tậu thiết bị hay ứng dụng về để làm việc mà lại không dám đưa dữ liệu và thông tin vào xử lý thì tốn tiền làm chi.

Bất luận thế nào, vụ việc của Lenovo cũng là bài học nhãn tiền cho tất cả các hãng khác. Nó cũng là lời cảnh báo lần nữa về ý thức bảo mật hệ thống, an toàn thông tin cho mọi người trong thời công nghệ chi phối mọi ngõ ngách cuộc sống. Thôi thì, sống chung với thiết bị thông minh đòi hỏi người dùng cũng phải thông minh.

PHẠM HỒNG PHƯỚC

+ Nguồn ảnh: Internet. Thanks.

Xin mời đọc bài in trên báo Người Lao động thứ Tư 6-1-2016 và trên báo Người Lao động Online