Trả lời báo giới về vụ máy tính Lenovo bị nghi ngờ cài đặt phần mềm dạng gián điệp, đại diện hãng Lenovo tại Việt Nam cho biết mục đích của hãng chỉ để thu thập dữ liệu hệ thống nhằm giúp họ hiểu rõ hơn về khách hàng để hoàn thiện sản phẩm tốt hơn. Cứ tin rằng Lenovo chỉ có mục đích thu thập thông tin người dùng một cách lành mạnh nhưng cách họ làm dễ khiến giới công nghệ và người dùng coi là “chơi không sạch”.
Đôi bên cùng có lợi
Thực tế là không chỉ có Lenovo, mà hầu hết các hãng sản xuất thiết bị điện toán, di động và thiết bị có tính năng kết nối internet đều cung cấp sản phẩm kèm theo tính năng thu thập thông tin về hệ thống và người dùng nhằm hoàn thiện, phát triển sản phẩm, cũng như chăm sóc khách hàng. Ngay cả những linh kiện như: bo mạch chủ, card đồ họa… cũng có tính năng kết nối giữa hệ thống của người sử dụng với máy chủ của nhà sản xuất. Không chỉ có thiết bị phần cứng, các phần mềm và ứng dụng cũng vậy. Khi cài các ứng dụng trên thiết bị, cả có phí hoặc không, người dùng được yêu cầu cấp phép cho ứng dụng thu thập dữ liệu để gửi về nhà cung cấp. Phần lớn là bắt buộc phải cho phép thì người dùng mới có thể tiếp tục cài đặt ứng dụng để dùng. Các hệ điều hành cũng không nằm ngoài cuộc chơi, thậm chí còn thâm nhập sâu và chủ động hơn.
Xét về công nghệ hay trong mối quan hệ nhà sản xuất - người tiêu dùng, việc kết nối và thu thập thông tin người dùng có ý nghĩa tích cực. Trước hết, nó giúp tạo mối liên hệ chặt chẽ và thường xuyên giữa hai bên. Kế đó, qua các thông tin hệ thống thu thập, nhà sản xuất có thể biết sản phẩm đang được sử dụng ra sao, đối tượng (phân khúc người dùng) nào sử dụng, có phát sinh những xung đột trong hệ thống hay bị những lỗi kỹ thuật nào không. Đó là những thông tin vô cùng quý giá cho bất cứ nhà sản xuất nào để hoàn thiện và phát triển sản phẩm kế tiếp. Và cũng nhờ giữ mối liên lạc như vậy, người dùng luôn được nhà sản xuất quan tâm và sẵn sàng phục vụ tốt hơn. Microsoft chẳng thể nào kịp thời phát thông báo cho người dùng Windows và các ứng dụng khác của mình biết phần mềm mà họ đang xài có lỗi nào đó hay có những tập tin cập nhật để cải thiện tính năng nếu như không có được những thông tin liên tục từ hệ thống người dùng. Hãng sản xuất chip đồ họa NVIDIA cũng nhờ vậy mà có thể thông báo cho người dùng biết vừa phát hành bộ driver card đồ họa mới thích hợp cho hệ thống của họ.
Tất nhiên, người tiêu dùng cũng phải hiểu rõ khi đã đồng ý cho nhà sản xuất thu thập các thông tin, họ phải chấp nhận bất trắc, rủi ro. Bởi lẽ, có trời mới biết người ta lấy đi những thông tin gì. Tất cả chỉ biết tin vào uy tín của thương hiệu nhà sản xuất. Nên mới nói là người tiêu dùng thông minh phải biết chọn thương hiệu mà gửi… tiền!
Cần minh bạch với người dùng
Nhưng mấu chốt của vấn đề chính là sự sòng phẳng, minh bạch và có sự đồng ý của người dùng. Nhà sản xuất có thể tích hợp tính năng thu thập thông tin vào sản phẩm của mình nhưng phải thông báo, liệt kê những thông tin cần thu thập và cho người dùng toàn quyền quyết định có chấp nhận hay không? Người dùng có toàn quyền với sản phẩm họ mua. Còn làm sao để phục vụ tốt khách hàng là chuyện của nhà sản xuất nhưng tuyệt đối không được áp đặt hay xâm phạm quyền của khách hàng. Không ai chấp nhận chuyện nhà sản xuất cứ tự ý và lẳng lặng thu thập thông tin thuộc sở hữu của người dùng, đặc biệt là các thông tin cá nhân. Cũng không có chuyện hễ mua sản phẩm nào là người dùng mặc nhiên phải chấp nhận điều đó. Chẳng lẽ tôi mua một chiếc smartphone, sau đó do tôi viết bài chê bai nhà sản xuất nên bị nhà sản xuất khóa máy từ xa?
Trong khi hầu hết nhà sản xuất khác tích hợp tính năng kết nối và thu thập thông tin người dùng dưới dạng ứng dụng phần mềm, hoặc nặng tay hơn là một con chip (gọi là bọ), Lenovo đã tích hợp phần mềm Lenovo Service Engine (LSE) vào ngay BIOS (phần mềm điều khiển hệ thống) của bo mạch chủ máy tính. Do nằm ở cấp BIOS, phần mềm này sẽ tự động chạy ngay khi máy khởi động, chiếm quyền cao nhất trong hệ thống, có thể khống chế hay thay thế các tập tin mặc định của hệ điều hành. Có nghĩa là, thông qua phần mềm loại này, hãng sản xuất có thể từ xa điều khiển hệ thống của người dùng. Theo một số chuyên gia bảo mật, LSE sẽ tự động gửi về máy chủ của Lenovo những thông tin cơ bản của hệ thống, như mô hình, thời gian, nơi hoạt động... và hầu như bất cứ thông tin nào theo lệnh. Điều nguy hiểm là do LSE được nhúng vào BIOS của bo mạch chủ, người dùng không thể xóa được phần mềm này, cho dù có thay ổ cứng và cài lại mới toàn bộ hệ thống. Và cũng chẳng có phần mềm phòng chống virus và mã độc nào có thể can thiệp vào nội bộ BIOS. Thông thường, khi có mã độc siêu tới mức chui vào nằm trong BIOS, nhà sản xuất phải cung cấp firmware xóa sạch BIOS cũ để thay bằng BIOS mới. Ngoài nhà sản xuất ra thì không ai có thể làm được chiêu thức này nếu không muốn “phế võ công” của cả hệ thống. Ở đây, khi chính nhà sản xuất làm như vậy, thiên hạ chỉ còn có thể bó tay than trời.
Ngay cho dù Lenovo có “trong trắng” đi nữa thì bản thân những phần mềm như LSE rất dễ có những lỗ hổng bảo mật nên là miếng mồi ngon cho giới tin tặc. Bằng chứng là hồi tháng 8-2015, giới bảo mật thế giới đã phát hiện một lỗ hổng của LSE cho phép tin tặc chiếm quyền điều khiển máy tính từ xa.
Bất luận thế nào, vụ việc của Lenovo cũng là bài học nhãn tiền cho các hãng khác. Nó cũng là lời cảnh báo lần nữa về ý thức bảo mật hệ thống, an toàn thông tin cho mọi người trong thời công nghệ chi phối mọi ngõ ngách cuộc sống. Thôi thì, sống chung với thiết bị thông minh đòi hỏi người dùng cũng phải thông minh.
Tai tiếng vì thu thập thông tin người dùng
Tạp chí PC WORLD (Mỹ) đã thống kê hàng loạt vụ tai tiếng của các hãng công nghệ liên quan đến việc thu thập và làm lộ thông tin người dùng. Điển hình là năm 2005, Sony BMG gây ra vụ bê bối lớn liên quan đến sự riêng tư của người dùng khi sử dụng một chương trình chống sao chép lậu XCP trên các đĩa nhạc mà hãng bán ra. Khi các CD này được phát bởi máy tính dùng hệ điều hành Windows, nó sẽ lập tức cài một phần mềm rootkit lên máy tính và chuyển thông tin địa chỉ IP ngược về cho Sony. Chương trình bị xem là phần mềm gián điệp này đã khiến dư luận bức xúc, hãng Sony phải thu hồi các CD này đồng thời phát hành công cụ gỡ bỏ phần mềm rootkit cho khách hàng. Ra tòa, Sony phải bồi thường 150 USD cho mỗi người dùng có máy tính bị hư hại bởi phần mềm rootkit nói trên.
Apple vào năm 2012 cũng gặp nhiều phiền toái với việc iPhone, iPad thu thập và lưu trữ dữ liệu địa lý của người dùng. Sau đó, cố CEO hãng Apple Steve Jobs phải xin lỗi, thừa nhận sự sai trái trong việc xử lý thông tin về vị trí người dùng. Apple đã phải cung cấp các bản cập nhật phần mềm miễn phí để người dùng có thể sửa lỗi này. Tương tự, từ 2010-2012, Google và Microsoft cũng đã thừa nhận họ có ghi lại các dữ liệu vị trí từ các thiết bị di động cài đặt hệ điều hành của họ.
Có thể thấy đối với các vụ việc không minh bạch khi thu thập thông tin người dùng sẽ khiến nhiều hãng công nghệ, kể cả những tập đoàn khổng lồ, gặp phải tai tiếng và hoàn toàn có thể bị người dùng tẩy chay.
Chánh Trung