Nói cho Lenovo: hãy tôn trọng quyền tự do của người sử dụng và ngăn chặn Superfish trong tương lai

Tell Lenovo: respect user freedom and prevent future Superfishes

by Zak Rogoff — Published on Feb 20, 2015 03:55 PM

Theo: https://www.fsf.org/blogs/community/tell-lenovo-respect-user-freedom-and-prevent-future-superfishes

Bài được đưa lên Internet ngày: 20/02/2015

Lời người dịch: Nhân việc “Các chuyên gia về an toàn đã phát hiện một chỗ bị tổn thương đe dọa cao trong phần mềm được cài đặt sẵn trên một số máy tính Windows do Lenovo sản xuất trong tháng 01/2015”, Quỹ Phần mềm Tự do đã lên tiếng phản đối, trong đó có đoạn mà rất đáng chú ý sau: “Các chỗ bị tổn thương về an toàn mức cao gần đây trong PMTD, như Heartbleed và POODLE, đã được tạo ra khi các lập trình viên có ý định tốt đã mắc các sai lầm mà đã khó để dò tìm ra. Nhưng điều đó là khác - Lenovo và Superfish đã gây ra một lỗ hổng về an toàn khổng lồ vì lợi ích của động cơ tạo doanh thu cho quảng cáo”. Đáng tiếc là ở Việt Nam ít người phân biệt được điều này, hoặc cũng có thể, nhiều người thích xuyên tạc điều này.

Các chuyên gia về an toàn đã phát hiện một chỗ bị tổn thương đe dọa cao trong phần mềm được cài đặt sẵn trên một số máy tính Windows do Lenovo sản xuất trong tháng 01/2015. Sự cẩu thả cực kỳ ở phía Lenovo và việc lập trình vô lương tâm của đối tác phần mềm quảng cáo Superfish của nó dường như đã gây ra chỗ bị tổn thương đó.

Điều cơ bản của vấn đề là một chương trình của Superfish được thiết kế để tiêm vào các quảng cáo trong trình duyệt web của người sử dụng. Điều đó đang gia tăng, mà nó ngày một tệ hơn. Superfish cũng cài đặt một chứng thực mà chặn giao thông Web và đánh què khả năng của máy tính sử dụng HTTPS để kiểm tra hợp lệ xác thực các website. Điều này để lại một cửa hậu cho những kẻ tấn công sử dụng các phiên bản giả mạo của các site đáng ra là có an toàn - giống như các website ngân hàng - để ăn cắp thông tin cá nhân. Bạn có thể đọc được nhiều hơn về chỗ bị tổn thương này ở Ars Technica.

Bất kể khi nào sử dụng các phần mềm sở hữu độc quyền như Windows hoặc Superfish, đúng, có thể tin, an toàn có thể xác minh luôn không đạt được. Vì mã sở hữu độc quyền không thể thanh tra được một cách công khai, không có cách gì để kiểm tra hợp lệ an toàn của nó được. Những người sử dụng phải tin rằng mã đó là an toàn và các công việc như được quảng cáo. Vì mã sở hữu độc quyền chỉ có thể được sửa đổi bởi các lập trình viên mà yêu sách để sở hữu nó, những người sử dụng bất lực phải chọn cách trong đó các lỗi về an toàn được sửa. Với các phần mềm sở hữu độc quyền, an toàn của người sử dụng là đứng sau sự kiểm soát của lập trình viên.

Các chỗ bị tổn thương về an toàn mức cao gần đây trong PMTD, như Heartbleed và POODLE, đã được tạo ra khi các lập trình viên có ý định tốt đã mắc các sai lầm mà đã khó để dò tìm ra. Nhưng điều đó là khác - Lenovo và Superfish đã gây ra một lỗ hổng về an toàn khổng lồ vì lợi ích của động cơ tạo doanh thu cho quảng cáo.

Các công ty đó đã chỉ ra sự coi thường trắng trợn đối với lòng tin của công chúng mà họ sẽ phải làm việc cật lực để khôi phục nó. Lenovo nên làm việc với bên thứ 3 cam kết vì lợi ích của công chúng - như Quỹ Phần mềm Tự do - để tạo ra và bán các máy tính xách tay được chứng thực tôn trọng sự tự do của người sử dụng và đi với một hệ điều hành tự do được cài đặt sẵn. Hãy ra nhập với chúng tôi trong việc kêu gọi vì sự thay đổi này trên các mạng xã hội (xem khuyến cáo của chúng tôi về các nền tảng phương tiện xã hội).

Security experts have discovered a highly threatening vulnerability in software preinstalled on some Windows computers manufactured by Lenovo through January 2015. Extreme negligence on the part of Lenovo and unscrupulous programming by its adware partner Superfish seem to have caused the vulnerability.

The basis of the problem is a program by Superfish that is designed to interject advertisements into users' Web browsing. That's irritating, but it gets worse. Superfish also installs a certificate that intercepts Web traffic and cripples the host computer's ability to use HTTPS to validate the authenticity of Web sites. This leaves an open door for attackers to use fake versions of sites that should be secure -- like bank Web sites -- to steal personal information. You can read more about the vulnerability at Ars Technica.

Whenever you use proprietary software like Windows or Superfish, true, trustable, verifiable security is always out of reach. Because proprietary code can't be publicly inspected, there's no way to validate its security. Users have to trust that the code is safe and works as advertised. Since proprietary code can only be modified by the developers who claim to own it, users are powerless to choose the manner in which security bugs are fixed. With proprietary software, user security is secondary to developer control.

Recent high-profile security vulnerabilities in free software, like Heartbleed and POODLE, were created when well-intentioned developers made mistakes that were difficult to detect. But this is different -- Lenovo and Superfish caused a massive security breach for the sake of expedience in generating ad revenue.

These companies have shown such blatant disregard for the public trust that they will have to work hard to restore it. Lenovo should work with a third party committed to the public interest -- like the Free Software Foundation -- to create and sell laptops that are certified to respect user freedom and come with a preinstalled free operating system. Join us in calling for this change on social media (see our recommendations for social media platforms).

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com