EVKey 6.0.4 vừa mới ra lò thì đã gây drama khi Windows Defender, ESET, Trend Micro và cả một đống phần mềm diệt virus khác đồng loạt hú còi báo động đây là mã độc. Ơ hay, sao lại thế này?
EVKey là bộ gõ tiếng Việt do anh Lâm Quang Minh phát triển, được build dựa trên mã nguồn mở của UniKey huyền thoại. Từ lâu, EVKey đã trở thành best friend của vô số người dùng Windows tại Việt Nam rồi.
Thế mà bản update mới nhất đang khiến cộng đồng tech Việt bàn tán ầm ĩ. Cụ thể là phiên bản EVKey 6.0.4 vừa lên trang chủ đã bị Windows Defender và các antivirus khác tố ngay là mã độc luôn.
Trên nhóm J2TEAM Community với hơn 750k thành viên, nhiều bạn than trời vì các phần mềm như ESET hay Trend Micro tự động xóa file EVKey ngay sau khi tải về. Chưa kịp dùng đã bay màu rồi
Một bạn chia sẻ: "ESET báo virus bản x64 rồi trảm luôn. TotalVirus cũng báo đỏ luôn bác ơi".
Theo hình ảnh được share, file EVKey.zip khi được test trên VirusTotal đã bị 8/65 công cụ bảo mật đánh dấu là độc hại, với những cái tên kinh dị như Trojan:Win32/Suschil, Trojan.W64.Agent hay Mal/Generic-S.
Tuy nhiên, phía EVKey cho biết đây không phải lần đầu tiên gặp drama này đâu nhé.
Tác giả EVKey: "Chỉ cần sửa source một chút là sẽ bị nhận diện"
Trả lời người dùng trên Facebook, tài khoản chính thức của EVKey bày tỏ:
"Chịu chết luôn, không biết sao luôn. Chỉ cần sửa source một tí nào đó là sẽ có, lúc thì bị Win32, lúc thì bị Win64…"
Đáng chú ý, một bạn khác trong phần comment cũng giải thích rằng nguyên nhân có thể đến từ chính cách hoạt động của phần mềm. "Bộ gõ của mình hook dạng IME thì thỉnh thoảng cũng hơi lag. Bộ gõ hoạt động không khác mấy so với keylogger, nên mấy chuyện như này khá thường xuyên."
Bạn này cũng gợi ý EVKey nên cân nhắc ký chứng thực ứng dụng (code signing) hoặc chuyển sang mô hình mã nguồn mở (open-source) để tăng độ tin cậy với người dùng. Phía EVKey sau đó trả lời khá hài hước rằng việc ký chứng thực phần mềm "cũng chưa", vì chi phí có thể lên tới khoảng 7 triệu đồng mỗi năm. Hơi đắt đỏ nhỉ
Vì sao bộ gõ tiếng Việt dễ bị antivirus hiểu nhầm?
Thực ra, đây không phải là câu chuyện quá xa lạ với các bộ gõ tiếng Việt đâu nha.
Theo mô tả chính thức, EVKey hỗ trợ hai cơ chế hoạt động là Keyboard Hook và IME (Input Method Editor) để can thiệp trực tiếp vào quá trình nhập liệu trên Windows. Đây cũng là cách phần mềm có thể sửa lỗi dấu, tương thích với nhiều ứng dụng hoặc hạn chế tình trạng loạn phím khi chơi game.
Vấn đề nằm ở chỗ, nhiều phần mềm độc hại như keylogger cũng sử dụng các kỹ thuật tương tự để theo dõi thao tác bàn phím. Nên antivirus bị nhầm lẫn là chuyện hợp lý
Do đó, các công cụ bảo mật thường áp dụng phương pháp phân tích hành vi (behavior analysis). Chỉ cần một chương trình có khả năng theo dõi bàn phím, can thiệp vào cửa sổ hệ thống, chạy nền hoặc thay đổi một số đoạn mã sau mỗi lần biên dịch, phần mềm diệt virus hoàn toàn có thể đưa ra cảnh báo nhầm (false positive).
Đây là hiện tượng khá phổ biến, thậm chí từng xảy ra với nhiều ứng dụng hợp pháp khác trong quá khứ. Microsoft cũng thừa nhận các giải pháp bảo mật có thể gặp phải tình trạng false positive và cung cấp quy trình riêng để nhà phát triển gửi yêu cầu xem xét lại các tệp bị đánh dấu nhầm.
Nguồn: soha.vn
EVKey là bộ gõ tiếng Việt do anh Lâm Quang Minh phát triển, được build dựa trên mã nguồn mở của UniKey huyền thoại. Từ lâu, EVKey đã trở thành best friend của vô số người dùng Windows tại Việt Nam rồi.
Thế mà bản update mới nhất đang khiến cộng đồng tech Việt bàn tán ầm ĩ. Cụ thể là phiên bản EVKey 6.0.4 vừa lên trang chủ đã bị Windows Defender và các antivirus khác tố ngay là mã độc luôn.
Trên nhóm J2TEAM Community với hơn 750k thành viên, nhiều bạn than trời vì các phần mềm như ESET hay Trend Micro tự động xóa file EVKey ngay sau khi tải về. Chưa kịp dùng đã bay màu rồi
Một bạn chia sẻ: "ESET báo virus bản x64 rồi trảm luôn. TotalVirus cũng báo đỏ luôn bác ơi".
Theo hình ảnh được share, file EVKey.zip khi được test trên VirusTotal đã bị 8/65 công cụ bảo mật đánh dấu là độc hại, với những cái tên kinh dị như Trojan:Win32/Suschil, Trojan.W64.Agent hay Mal/Generic-S.
Tuy nhiên, phía EVKey cho biết đây không phải lần đầu tiên gặp drama này đâu nhé.
Tác giả EVKey: "Chỉ cần sửa source một chút là sẽ bị nhận diện"
Trả lời người dùng trên Facebook, tài khoản chính thức của EVKey bày tỏ:
"Chịu chết luôn, không biết sao luôn. Chỉ cần sửa source một tí nào đó là sẽ có, lúc thì bị Win32, lúc thì bị Win64…"
Đáng chú ý, một bạn khác trong phần comment cũng giải thích rằng nguyên nhân có thể đến từ chính cách hoạt động của phần mềm. "Bộ gõ của mình hook dạng IME thì thỉnh thoảng cũng hơi lag. Bộ gõ hoạt động không khác mấy so với keylogger, nên mấy chuyện như này khá thường xuyên."
Bạn này cũng gợi ý EVKey nên cân nhắc ký chứng thực ứng dụng (code signing) hoặc chuyển sang mô hình mã nguồn mở (open-source) để tăng độ tin cậy với người dùng. Phía EVKey sau đó trả lời khá hài hước rằng việc ký chứng thực phần mềm "cũng chưa", vì chi phí có thể lên tới khoảng 7 triệu đồng mỗi năm. Hơi đắt đỏ nhỉ
Vì sao bộ gõ tiếng Việt dễ bị antivirus hiểu nhầm?
Thực ra, đây không phải là câu chuyện quá xa lạ với các bộ gõ tiếng Việt đâu nha.
Theo mô tả chính thức, EVKey hỗ trợ hai cơ chế hoạt động là Keyboard Hook và IME (Input Method Editor) để can thiệp trực tiếp vào quá trình nhập liệu trên Windows. Đây cũng là cách phần mềm có thể sửa lỗi dấu, tương thích với nhiều ứng dụng hoặc hạn chế tình trạng loạn phím khi chơi game.
Vấn đề nằm ở chỗ, nhiều phần mềm độc hại như keylogger cũng sử dụng các kỹ thuật tương tự để theo dõi thao tác bàn phím. Nên antivirus bị nhầm lẫn là chuyện hợp lý
Do đó, các công cụ bảo mật thường áp dụng phương pháp phân tích hành vi (behavior analysis). Chỉ cần một chương trình có khả năng theo dõi bàn phím, can thiệp vào cửa sổ hệ thống, chạy nền hoặc thay đổi một số đoạn mã sau mỗi lần biên dịch, phần mềm diệt virus hoàn toàn có thể đưa ra cảnh báo nhầm (false positive).
Đây là hiện tượng khá phổ biến, thậm chí từng xảy ra với nhiều ứng dụng hợp pháp khác trong quá khứ. Microsoft cũng thừa nhận các giải pháp bảo mật có thể gặp phải tình trạng false positive và cung cấp quy trình riêng để nhà phát triển gửi yêu cầu xem xét lại các tệp bị đánh dấu nhầm.
Nguồn: soha.vn