Chuyên gia bảo mật mở rộng điều tra vụ Superfish, Microsoft can thiệp bằng Windows Defender

Hàng triệu người dùng máy tính của Lenovo đang được cảnh báo không nên sử dụng máy để thực hiện các hình thức giao dịch bảo đảm khi mối quan ngại về việc Lenovo cài sẵn adware Superfish đang ngày một tăng. Một số chuyên gia bảo mật đã lên tiếng và đưa ra những lý giải về vụ việc, đồng thời Microsoft cũng đã can thiệp.

Theo thông báo trước đó thì các thiết bị của Lenovo được bán từ giữa tháng 9 năm 2014 đến tháng 1 năm 2015 thông qua các cửa hàng bán lẻ bên ngoài hay trực tuyến như Best Buy, Amazon đều có khả năng bị ảnh hưởng bởi adware Superfish - một phần mềm quảng cáo nhưng được tình nghi là có thể rình mò thông tin của người dùng trên kết nối Internet bảo mật.

Giám đốc Defcon kiêm nhà nghiên cứu bảo mật - Marc Roggers cho biết người dùng nên ngay lập tức kiểm tra chiếc máy của mình nếu bị nhiễm adware này. Trên trang blog cá nhân, Marc Roggers cũng đã mô tả chi tiết về Superfish. Ông nói: "Lenovo đã hợp tác với một công ty có tên Superfish để cài đặt phần mềm quảng cáo lên các máy tính bán cho người dùng. Dưới các điều kiện bình thường, vấn đề này không quá to tát nhưng phần mềm của Superfish lại khá nổi tiếng. Ai cũng biết Superfish là một dạng adware hay một phần mềm quảng cáo độc hại. Chỉ cần tìm trên Google là bạn sẽ thấy rất nhiều link đến hàng tá trang web nói về phần mềm này cũng như cách để gỡ Superfish ra khỏi máy tính." Roggers cũng nói về tính năng của Superfish, theo đó:

Superfish có thể:

Rình mò các kết nối hợp lệ;
Giám sát hoạt động của người dùng;
Thu thập thông tin cá nhân và đăng tải lên server của nó;
Nhả các quảng cáo vào các trang web hợp lệ;
Hiển thị popup với phần mềm quảng cáo;
Sử dụng kỹ thuật man-in-middle attack để tấn công kết nối Internet an toàn;
Đánh lừa người dùng với các chứng chỉ số giả mạo của nó thay vì các chứng chỉ số gốc của trang web hợp lệ.

Qua những tính năng trên, người dùng đang đứng trước một hiểm họa bảo mật rất lớn, cụ thể:

Superfish thay thế các chứng chỉ số của các trang web hợp lệ với các chứng chỉ số của nó nhằm thay đổi kết nối để nó có thể nhúng quảng cáo. Điều này có nghĩa những máy tính bị nhiễm adware này không thể tin cậy vào mọi kết nối an toàn (Secure connection) mà người dùng đã chọn.
Người dùng sẽ không được thông báo nếu như các chứng chỉ số gốc của một trang web hợp lệ bị adware làm giả đã hết hạn hay có phải là thật hay không. Trên thực tế, máy tính sau khi bị lây nhiễm sẽ dựa trên Superfish để kiểm tra các chứng chỉ này.
Do Superfish sử dụng các chứng chỉ giống nhau đối với mọi trang web do đó các mã độc khác có thể dễ dàng khai thác các chứng chỉ này để tấn công sâu hơn vào kết nối của người dùng.
Superfish sử dụng một chứng chỉ đã cũ và bị loại bỏ từ lâu là SHA1. SHA1 hiện đã được thay thế bởi chứng chỉ SHA-256 bởi chứng chỉ SHA1 dễ bị tấn công bởi các phần cứng máy tính thông thường. Không chỉ ảnh hưởng đến kết nối SSL mà SHA1 còn khiến kết nối trở nên mất an toàn nhất.
Tồi tệ hơn, Superfish sử dụng khóa 1024-bit RSA có thể phá được (1024-bit RSA là khóa mật mã được sử dụng trong kết nối an toàn nhưng nó đã được cảnh báo rằng có thể bị phá trong tương lai gần).
Người dùng buộc phải tin rằng adware này không tác động đến các nội dung hay đánh cắp dữ liệu nhạy cảm như tên đăng nhập, mật khẩu khi họ sử dụng kết nối an toàn.
Nếu adware này hay mọi hạ tầng điều khiển của nó được máy tính thỏa hiệp thì kẻ tấn công sẽ có được quyền truy cập hoàn toàn, không giới hạn đến mọi trang web ngân hàng, dữ liệu cá nhân và tin nhắn riêng tư.

Roggers đã dẫn chứng bằng 2 hình ảnh trên, chúng ta có thể thấy Superfish lây nhiễm trên một chiếc máy tính và thay thế chứng chỉ gốc của trang Bank of America bằng chứng chỉ giả của nó. Thêm vào đó, Superfish cũng sử dụng chứng chỉ SHA1 với khóa mật mã 1024-bit RSA dễ bị tấn công.

Đây là một hình thức tấn công rất hiểm độc bởi chứng chỉ này phải được cài đặt vào chứng chỉ hệ thống theo dạng các chứng chỉ gốc tin cậy không giới hạn (unrestricted trusted root certificate). Điều đáng nói là phân quyền chứng chỉ này sẽ cho phép chứng chỉ giả của Superfish đứng ngang hàng về độ tin cậy và quyền với các chứng chỉ gốc của Microsoft. Máy tính bị adware này tác động vẫn có thể duyệt mọi trang web trên Internet cùng với chứng chỉ giả này và họ sẽ bị đánh lừa rằng họ đang sử dụng kết nối an toàn. Và do chứng chỉ giả sử dụng SHA1 dễ bị tấn công thì tin tặc có thể khai thác để tiếp tục tạo ra các chứng chỉ giả để can thiệp sâu hơn vào kết nối.

Roggers cũng đã thử tấn công và dò tìm mật khẩu bằng cách thiết lập một trang web ngân hàng giả mạo ngân hàng HSBC. Để phá chứng chỉ SHA1 hay khóa 1024-bit RSA thì theo Roggers, tin tặc chỉ cần trích xuất khóa cá nhân và nếu như người dùng đặt mật khẩu bằng một từ đơn giản có trong từ điển thì hoạt động tấn công diễn ra rất dễ dàng. Ở đây, ông đã dò ra mật khẩu là "komodia" và giải mã khóa 1024-bit RSA.

Roggers cho biết: "Nếu máy tính bị lây nhiễm adware này thì người dùng không nên sử dụng máy để thực hiện mọi giao dịch cho đến khi adware được xác nhận đã bị gỡ bỏ hoàn toàn."

Hiện tại, Lenovo đã phản hồi, cho biết hãng đã tạm thời loại bỏ Superfish ra khỏi hệ thống máy chủ can thiệp bên ngoài và đăng tải một hướng dẫn chi tiết để người dùng có thể gỡ bỏ Superfish ra khỏi máy tính. Tuy nhiên, các chuyên gia bảo mật vẫn đang tiến hành điều tra và phân tích sâu hơn về giải pháp cũng như tác động của Superfish.

Theo khuyến cáo của nhiều người thì cách duy nhất để xác nhận rằng adware Superfish đã được loại bỏ hoàn toàn là cài lại Windows - một bản cài không do Lenovo phát hành hoặc chuyển sang sử dụng một hệ điều hành khác. Nhiều trang bảo mật khác cũng cho rằng việc gỡ cài đặt Superfish có thể không loại bỏ hoàn toàn quyền chứng chỉ gốc. Roggers cho biết việc loại bỏ chứng chỉ gốc chỉ là một phần và ông cảnh báo rất nhiều người dùng vẫn không biết cách gỡ bỏ chứng chỉ này bởi nó khá là phức tạp. Ông gợi ý, Microsoft có thể sẽ đưa ra một bản cập nhật bảo mật đối với các thiết bị của Lenovo.

Cập nhật: Microsoft đang phản ứng tích cực trước vấn đề adware Superfish và các nhà nghiên cứu bảo mật cũng thông báo rằng Microsoft đã tung ra một bản cập nhật cho Windows Defender - công cụ bảo mật và chống virus tích hợp trên Windows để chủ động gỡ bỏ phần mềm Superfish được cài đặt sẵn trên nhiều máy tính Lenovo. Thêm vào đó, Windows Defender cũng sẽ thiết lập lại mọi chứng chỉ số SSL bị Superfish tác động và khôi phục lại hệ thống. Bên cạnh đó, các chuyên gia bảo mật cũng đang tìm kiếm một phương pháp đáng tin cậy hơn để loại bỏ hoàn toàn các tác động nguy hiểm của Superfish. Để đảm bảo bản vá mới có tác dụng, mọi người dùng máy tính Windows chẳng may bị lây nhiễm adware Superfish nên cập nhật Windows Defender và tiến hành quét hệ thống càng sớm càng tốt.

Bạn có thể kiểm tra xem máy mình có bị nhiễm adware Superfish hay không và hướng dẫn gỡ bỏ tại bài dưới đây nếu muốn chắc chắn.

Hướng dẫn kiểm tra máy tính bị dính Superfish và cách gỡ bỏ

Theo: ZDNet; The Verge; Marc Roggers Wordpress

vinhtinhte

ĐẠI BÀNG

9 năm

Đúng là mấy anh Tàu ! Sợ hem !

hoanbnhbg

TÍCH CỰC

Lúc đầu còn có chút cảm tình với lenovo chứ giờ thì lòi cái mặt chuột ra rồi. Nguồn gốc từ tàu là k thể tin tưởng đc. Nguy hiểm còn hơn YS

HOANGANH MOLUX

@hoanbnhbg IS chứ

@HOANGANH MOLUX =)) vô tình mà cố ý đó bác @

Tminh3232

VIP

@hoanbnhbg IS mới đúng bác ơi.

nnkjsc

lenovo làm vụ này quá tồi. quá quá tồi.

Phan_Quan

Biết người biết ta trăm trận trăm thắng ? Cái này có trong binh pháp của bọn khựa lâu rồi.

an.nguyen128

tóm lại là ko dây vào đồ Tung Của

heocon20044

@an.nguyen128 Tất cả các thứ bác đang xài 90% từ màn hình, bàn phím, chuột, điện thoại vv.. đều từ Tàu Khựa ra đấy.. 😁
Giờ chuyển sang VN làm hết thì ngon.
NOKIA giờ hình như chuyển san VN rồi, xài cũng yên tâm. e mới mua con 730 make in VietNam

truong95

GÀ

@heocon20044 Các thành phần khác vẫn từ trung quốc nhé

htcfanboy

@heocon20044 quan trọng là thằng chịu trách nhiệm cuối cùng không phải là Trung Của.
Máy Dell cũng có linh kiện tàu, nhưng Dell là người chịu trách nhiệm với người dùng. Như vậy an tâm hơn dùng hàng Lé vồ nhiều

hoatuyethuy

@heocon20044 Bạn hiểu rộng ra 1 chút, K ai nói về made in china hay j cả, nói về thương hiệu luôn ấy, Các sp công nghệ của Mỹ mà sx ở Trung Quốc thì vẫn yên tâm sài

Evolution X

@heocon20044 bác đang bị nhầm giữa Công ty của TQ và Sản xuất tại TQ, ví dụ Lenovo sản xuất tại VN thì bác có sẽ mua không??? Hay BlackBerry Z3 made in china thì bác có mua không??? Nên tránh: Lenovo, Huawei, ZTE, Foxconn (hãng này chuyên gia công, còn phần mềm thì các hãng đặt hàng sẽ lo), Oppo, Xiaomi..... Kể cả nó SX ở US thì cũng next

chetdichoroi

Về đập nát cái lap top ngay và luôn.

@chetdichoroi Uổng vậy , để dành chơi game cũng ngon mừ.

@Tminh3232 đập để trả thù pác ak.

traitay95

@chetdichoroi Quân tử dám nói dám làm

@traitay95 Đập rồi pác ak.
P/s con này k đập cũng k dc, nó chết bất đắc kỳ tử làm tui ôm hận

thao

Thuyết âm mưu: có bàn tay của CP Trung Quốc?

RIM

CAO CẤP

Nói chung là không tránh được nhưng vẫn luôn cần cảnh giác với hàng khựa

thaloduy

Mới kiểm tra lại 2 con laptop. Mặt trên ghi là asus và hp 😁 hên qá

minhquan5555

hàng tung của luôn luôn có gì đó "khuyến mãi"kèm theo cho anh em mình.

Phệu TMC

khựa mà.

Gửi từ iPhone của tôi sử dụng Tinhte.vn

NatGeo

Không thích lenovo, lap bán ở vn mình chủ yếu là free dos nên cũng k sợ lắm

Vladikox

Lưu ý: theo mình biết, Windows Defender trên Windows 7 trở về trước chỉ là một trình chống mailware, adware đơn giản, muốn anti-virus phải cài thêm Microsoft Essential Security. Chỉ có Windows Defender trên Windows 8 trở lên, kết hợp 2 phần mềm trên lại làm 1, mới có chức năng như một trình bảo vệ thay thế toàn diện cho các trình anti-virus khác, và dĩ nhiên do Microsoft support nên cực kì mạnh mẽ (database cập nhật liên tục).

Vì vậy có thể Windows Defender trong topic nói trên là từ Windows 8 trở lên thôi nhé.

Mr Prince

@duyhotan2000 cài phần mềm chỉ có thể giúp người ta hạn chế víu thôi, chứ người dùng không biết xài thì pó tay
nhất là mấy đứa con gái, lần nào cũng dặn dò mình cài diệt virus mà có bao giờ nó xài đâu, cắm usb vào nhiều khi còn không quét, cứ toàn nghĩ là cài rồi thì sẽ ko dính, tùy người thôi biết xài hay ko biết xài thôi

duyhotan2000

@Mr Prince Phần mềm phải phục vụ cho đại đa số người dùng, chứ người chuyên mới dùng thì nói làm gì! Các phần mềm đều có Realtime protection mà, cấm vào là diệt ngay

@duyhotan2000 nó chỉ diệt khi có phát hiện hành vi lén lúc đang chạy thôi chứ ko phải là quét há, thần thánh cỡ nào mà mấy đứa ko biết gì thì cũng virus như thường thôi, chả khả gì nhau nhiều đâu

@Mr Prince M dùng ESET cắm vào nó tự diệt luôn mà, cùng lắm là mở ổ đĩa lên (chưa chạy file virus nhé)

isamsung

Tránh xa tất cả những hãng xuất phát từ TQ, như Lenovo hay Oppo, tất nhiên là trong thời buổi này ko thể tránh xa đồ TQ đc, chúng ta vẫn dùng đồ Made in China nhưng ko dùng đồ của những hãng xuất phát có nguồn gốc TQ.
Đề nghị các Mod ko đăng bất kì tin tức công nghệ liên quan đến những hãng xuất phát từ TQ, các bạn hãy tỏ ra là 1 người yêu nước, đừng vì những cái lợi trước mắt mà làm khổ chúng ta và con cháu sau này

xuantruong044

@isamsung Đồng ý với vài ý kiến của bác, thế nhưng đây là diễn đàn công nghệ, và không nên đem chính trị vào đây.

@isamsung Chúng ta không thích khựa nhưng các cụ thì khác.

Scorpius DLord

Đọc vẫn chưa hiểu sao thằng lenovo lại cài adware này vào nhở.

BOOTLOADER

@Scorpius DLord Cái này chắc hỏi cụ Tập là ra thui

trungnthut

@Scorpius DLord Âm mưu lâu dài để thống trị thế giới ấy mà 😁

Kabm

@n.kien Phần mềm là của hãng khác, không phải lúc nào cũng biết nó thế nào. Còn Lenovo cài lên là vì tiền thôi, thằng Fish kia nó trả tiền. Giống như mấy phần mềm rác có sẵn trên điện thoại là vì có thằng nó trả tiền!!

mabu_210

@Scorpius DLord "Lenovo đã hợp tác với một công ty có tên Superfish để cài đặt phần mềm quảng cáo lên các máy tính bán cho người dùng........"
Chỉ cần đọc chỗ đỏ kia thôi là đủ hiểu rồi còn zề.

nguyenqthin

Máy Tàu đang bán tràn lan, đi đâu cũng thấy qc, Oppo là một ví dụ. Cứ ham rẻ cấu hình cao đi mấy thím

FaPPeR

@nguyenqthin Oppo đắt lòi zom chứ rẻ gì.

toanzoom

tránh xa lenovo đi nhá 😃

lovesocnho

Hàng nghìn năm qua, tàu khựa luôn rất nguy hiểm và đó đã là bản chất của chúng. Không thể thay đổi.

Trong khi ngoài kia có rất nhiều sản phẩm đáng tin tưởng và chất lượng hơn hẳn thì câu hỏi tại sao chúng ta lại sử dụng sản phẩm của chúng hoặc phân phối cho chúng?

Chuyên gia bảo mật mở rộng điều tra vụ Superfish, Microsoft can thiệp bằng Windows Defender

CHỦ ĐỀ TƯƠNG TỰ

Adware là gì, tác hại của chúng và bạn có thể phòng tránh adware như thế nào

[Nhắc nhẹ] Anh em Windows nhớ kiểm tra xem máy có bị cài ngầm adware, malware không nhé

Tại sao các ứng dụng độc hại lại lọt qua được khâu kiểm duyệt của Google để đăng lên Play store?

Lại tìm thấy nhiều ứng dụng Android hiện quảng cáo, nghi vấn 1 sinh viên Việt Nam đứng sau