Hàng triệu người dùng máy tính của Lenovo đang được cảnh báo không nên sử dụng máy để thực hiện các hình thức giao dịch bảo đảm khi mối quan ngại về việc Lenovo cài sẵn adware Superfish đang ngày một tăng. Một số chuyên gia bảo mật đã lên tiếng và đưa ra những lý giải về vụ việc, đồng thời Microsoft cũng đã can thiệp.
Theo thông báo trước đó thì các thiết bị của Lenovo được bán từ giữa tháng 9 năm 2014 đến tháng 1 năm 2015 thông qua các cửa hàng bán lẻ bên ngoài hay trực tuyến như Best Buy, Amazon đều có khả năng bị ảnh hưởng bởi adware Superfish - một phần mềm quảng cáo nhưng được tình nghi là có thể rình mò thông tin của người dùng trên kết nối Internet bảo mật.
Giám đốc Defcon kiêm nhà nghiên cứu bảo mật - Marc Roggers cho biết người dùng nên ngay lập tức kiểm tra chiếc máy của mình nếu bị nhiễm adware này. Trên trang blog cá nhân, Marc Roggers cũng đã mô tả chi tiết về Superfish. Ông nói: "Lenovo đã hợp tác với một công ty có tên Superfish để cài đặt phần mềm quảng cáo lên các máy tính bán cho người dùng. Dưới các điều kiện bình thường, vấn đề này không quá to tát nhưng phần mềm của Superfish lại khá nổi tiếng. Ai cũng biết Superfish là một dạng adware hay một phần mềm quảng cáo độc hại. Chỉ cần tìm trên Google là bạn sẽ thấy rất nhiều link đến hàng tá trang web nói về phần mềm này cũng như cách để gỡ Superfish ra khỏi máy tính." Roggers cũng nói về tính năng của Superfish, theo đó:
Superfish có thể:
- Rình mò các kết nối hợp lệ;
- Giám sát hoạt động của người dùng;
- Thu thập thông tin cá nhân và đăng tải lên server của nó;
- Nhả các quảng cáo vào các trang web hợp lệ;
- Hiển thị popup với phần mềm quảng cáo;
- Sử dụng kỹ thuật man-in-middle attack để tấn công kết nối Internet an toàn;
- Đánh lừa người dùng với các chứng chỉ số giả mạo của nó thay vì các chứng chỉ số gốc của trang web hợp lệ.
Qua những tính năng trên, người dùng đang đứng trước một hiểm họa bảo mật rất lớn, cụ thể:
- Superfish thay thế các chứng chỉ số của các trang web hợp lệ với các chứng chỉ số của nó nhằm thay đổi kết nối để nó có thể nhúng quảng cáo. Điều này có nghĩa những máy tính bị nhiễm adware này không thể tin cậy vào mọi kết nối an toàn (Secure connection) mà người dùng đã chọn.
- Người dùng sẽ không được thông báo nếu như các chứng chỉ số gốc của một trang web hợp lệ bị adware làm giả đã hết hạn hay có phải là thật hay không. Trên thực tế, máy tính sau khi bị lây nhiễm sẽ dựa trên Superfish để kiểm tra các chứng chỉ này.
- Do Superfish sử dụng các chứng chỉ giống nhau đối với mọi trang web do đó các mã độc khác có thể dễ dàng khai thác các chứng chỉ này để tấn công sâu hơn vào kết nối của người dùng.
- Superfish sử dụng một chứng chỉ đã cũ và bị loại bỏ từ lâu là SHA1. SHA1 hiện đã được thay thế bởi chứng chỉ SHA-256 bởi chứng chỉ SHA1 dễ bị tấn công bởi các phần cứng máy tính thông thường. Không chỉ ảnh hưởng đến kết nối SSL mà SHA1 còn khiến kết nối trở nên mất an toàn nhất.
- Tồi tệ hơn, Superfish sử dụng khóa 1024-bit RSA có thể phá được (1024-bit RSA là khóa mật mã được sử dụng trong kết nối an toàn nhưng nó đã được cảnh báo rằng có thể bị phá trong tương lai gần).
- Người dùng buộc phải tin rằng adware này không tác động đến các nội dung hay đánh cắp dữ liệu nhạy cảm như tên đăng nhập, mật khẩu khi họ sử dụng kết nối an toàn.
- Nếu adware này hay mọi hạ tầng điều khiển của nó được máy tính thỏa hiệp thì kẻ tấn công sẽ có được quyền truy cập hoàn toàn, không giới hạn đến mọi trang web ngân hàng, dữ liệu cá nhân và tin nhắn riêng tư.
Roggers đã dẫn chứng bằng 2 hình ảnh trên, chúng ta có thể thấy Superfish lây nhiễm trên một chiếc máy tính và thay thế chứng chỉ gốc của trang Bank of America bằng chứng chỉ giả của nó. Thêm vào đó, Superfish cũng sử dụng chứng chỉ SHA1 với khóa mật mã 1024-bit RSA dễ bị tấn công.
Đây là một hình thức tấn công rất hiểm độc bởi chứng chỉ này phải được cài đặt vào chứng chỉ hệ thống theo dạng các chứng chỉ gốc tin cậy không giới hạn (unrestricted trusted root certificate). Điều đáng nói là phân quyền chứng chỉ này sẽ cho phép chứng chỉ giả của Superfish đứng ngang hàng về độ tin cậy và quyền với các chứng chỉ gốc của Microsoft. Máy tính bị adware này tác động vẫn có thể duyệt mọi trang web trên Internet cùng với chứng chỉ giả này và họ sẽ bị đánh lừa rằng họ đang sử dụng kết nối an toàn. Và do chứng chỉ giả sử dụng SHA1 dễ bị tấn công thì tin tặc có thể khai thác để tiếp tục tạo ra các chứng chỉ giả để can thiệp sâu hơn vào kết nối.
Roggers cũng đã thử tấn công và dò tìm mật khẩu bằng cách thiết lập một trang web ngân hàng giả mạo ngân hàng HSBC. Để phá chứng chỉ SHA1 hay khóa 1024-bit RSA thì theo Roggers, tin tặc chỉ cần trích xuất khóa cá nhân và nếu như người dùng đặt mật khẩu bằng một từ đơn giản có trong từ điển thì hoạt động tấn công diễn ra rất dễ dàng. Ở đây, ông đã dò ra mật khẩu là "komodia" và giải mã khóa 1024-bit RSA.
Roggers cho biết: "Nếu máy tính bị lây nhiễm adware này thì người dùng không nên sử dụng máy để thực hiện mọi giao dịch cho đến khi adware được xác nhận đã bị gỡ bỏ hoàn toàn."
Hiện tại, Lenovo đã phản hồi, cho biết hãng đã tạm thời loại bỏ Superfish ra khỏi hệ thống máy chủ can thiệp bên ngoài và đăng tải một hướng dẫn chi tiết để người dùng có thể gỡ bỏ Superfish ra khỏi máy tính. Tuy nhiên, các chuyên gia bảo mật vẫn đang tiến hành điều tra và phân tích sâu hơn về giải pháp cũng như tác động của Superfish.
Quảng cáo
Theo khuyến cáo của nhiều người thì cách duy nhất để xác nhận rằng adware Superfish đã được loại bỏ hoàn toàn là cài lại Windows - một bản cài không do Lenovo phát hành hoặc chuyển sang sử dụng một hệ điều hành khác. Nhiều trang bảo mật khác cũng cho rằng việc gỡ cài đặt Superfish có thể không loại bỏ hoàn toàn quyền chứng chỉ gốc. Roggers cho biết việc loại bỏ chứng chỉ gốc chỉ là một phần và ông cảnh báo rất nhiều người dùng vẫn không biết cách gỡ bỏ chứng chỉ này bởi nó khá là phức tạp. Ông gợi ý, Microsoft có thể sẽ đưa ra một bản cập nhật bảo mật đối với các thiết bị của Lenovo.
Cập nhật: Microsoft đang phản ứng tích cực trước vấn đề adware Superfish và các nhà nghiên cứu bảo mật cũng thông báo rằng Microsoft đã tung ra một bản cập nhật cho Windows Defender - công cụ bảo mật và chống virus tích hợp trên Windows để chủ động gỡ bỏ phần mềm Superfish được cài đặt sẵn trên nhiều máy tính Lenovo. Thêm vào đó, Windows Defender cũng sẽ thiết lập lại mọi chứng chỉ số SSL bị Superfish tác động và khôi phục lại hệ thống. Bên cạnh đó, các chuyên gia bảo mật cũng đang tìm kiếm một phương pháp đáng tin cậy hơn để loại bỏ hoàn toàn các tác động nguy hiểm của Superfish. Để đảm bảo bản vá mới có tác dụng, mọi người dùng máy tính Windows chẳng may bị lây nhiễm adware Superfish nên cập nhật Windows Defender và tiến hành quét hệ thống càng sớm càng tốt.
Bạn có thể kiểm tra xem máy mình có bị nhiễm adware Superfish hay không và hướng dẫn gỡ bỏ tại bài dưới đây nếu muốn chắc chắn.