Lenovo không phải là hãng duy nhất cài mã độc lên máy người dùng

Mã độc này được phát hiện vào tháng 11/2015 bởi Joe Nord khi ông phát hiện một chứng chỉ bảo mật SSL mới xuất hiện trên máy tính của mình với tên eDellRoot và có hạn sử dụng tới năm 2039.

Chứng chỉ này được cài đặt sẵn dưới dạng chứng chỉ bảo mật gốc và được ký bằng khóa bí mật, lưu trữ trên thiết bị. Khóa bí mật này cũng được tìm thấy trên một số máy tính Dell khác.

Mã độc eDellRoot bị tìm thấy trong máy tính Dell

Việc tồn tại một chứng chỉ kết nối giả mạo sẽ giúp tin tặc thực hiện các hành vi theo dõi hoạt động trực tuyến của người dùng, đọc các thông tin cookie, ghi lại mật khẩu và các thông tin nhạy cảm khác. Bên cạnh đó, các phần mềm độc hại cũng có thể dễ dàng tải xuống và cài đặt lên máy người dùng vì nó đã được chứng nhận eDellRoot cài đặt.

Cũng tương tự với LSE của Lenovo, eDellRoot có thể tự động cài đặt lại sau khi người dùng gỡ khỏi hệ điều hành. Các sản phẩn của Dell chứa chứng chỉ này gồm: Dell Inspiron 5000, XPS 15, XPS13 và kể cả các mẫu gần đây nhất như Precision M4800 và Latitude.

Trước thông tin này, Dell đã trả lời người dùng rằng: "eDellRoot được cài đặt trên các máy tính của Dell có tác dụng giúp cho việc hỗ trợ khách hàng nhanh hơn và mang đến trải nghiệm tốt hơn cho người dùng. Chứng chỉ này không phải là adware hay malware, mà sẽ chỉ lấy thông tin model máy, cũng không khai thác bất kỳ thông tin cá nhân nào".

Hãng cũng cho biết thêm chứng chỉ này sẽ không tự cài đặt lại nếu như gỡ đúng cách mà hãng hướng dẫn.

Một chứng chỉ khác tương tự

Tới ngày 25/11 năm ngoái, hãng bảo mật Symantec tiếp tục phát hiện thêm một chứng chỉ gốc khác có tên DSDTestProvider trên máy tính Dell và hoạt động tương tự eDellRoot. Ngoài ra người dùng cũng gửi đến hãng bảo mật này thông tin về các máy tính Asus cũng xuất hiện các chứng chỉ bảo mật lạ nhưng hãng chưa thể xác nhận lại.

Đối với trường hợp của Dell, hãng đã đưa ra công cụ hỗ trợ người dùng gỡ bỏ 2 chứng chỉ này tự động có tên eDellRoot and DSDTestProvier removal tool.