EVKey là bộ gõ tiếng Việt do lập trình viên Lâm Quang Minh phát triển, được xây dựng dựa trên mã nguồn mở của UniKey và từ lâu đã trở thành lựa chọn quen thuộc của nhiều người dùng Windows tại Việt Nam.
Bản cập nhật mới của EVKey đang trở thành chủ đề được bàn luận sôi nổi trong cộng đồng công nghệ Việt Nam. Cụ thể, phiên bản EVKey 6.0.4 vừa được đăng tải trên trang chủ đã nhanh chóng xuất hiện hàng loạt phản hồi từ người dùng cho biết phần mềm bị Windows Defender và một số phần mềm diệt virus của bên thứ ba nhận diện là mã độc.
Trên nhóm J2TEAM Community với hơn 750.000 thành viên, nhiều người dùng cho biết các phần mềm như ESET hay Trend Micro đã tự động xóa tập tin EVKey sau khi tải về.
Một người dùng chia sẻ: “ESET báo virus bản x64 rồi trảm luôn. TotalVirus cũng báo đỏ luôn bác ơi”.
Theo hình ảnh được chia sẻ, một tệp EVKey.zip khi được đưa lên VirusTotal đã bị 8/65 công cụ bảo mật đánh dấu là độc hại , trong đó có các tên gọi như Trojan:Win32/Suschil, Trojan.W64.Agent hay Mal/Generic-S.
Tuy nhiên, phía EVKey cho rằng đây không phải lần đầu tiên xảy ra tình trạng này.
Tác giả EVKey: “Chỉ cần sửa source một chút là sẽ bị nhận diện”
Trả lời người dùng trên Facebook, tài khoản chính thức của EVKey cho biết:
“Chịu chết luôn, không biết sao luôn. Chỉ cần sửa source một tí nào đó là sẽ có, lúc thì bị Win32, lúc thì bị Win64…”
Đáng chú ý, một thành viên khác trong phần bình luận cũng giải thích rằng nguyên nhân có thể đến từ chính cách thức hoạt động của phần mềm. "Bộ gõ của mình hook dạng IME thì thỉnh thoảng cũng hơi lag. Bộ gõ hoạt động không khác mấy so với keylogger, nên mấy chuyện như này khá thường xuyên."
Người này cũng gợi ý EVKey nên cân nhắc ký chứng thực ứng dụng (code signing) hoặc chuyển sang mô hình mã nguồn mở (open-source) để tăng độ tin cậy với người dùng. Phía EVKey sau đó trả lời khá hài hước rằng việc ký chứng thực phần mềm “cũng chưa”, bởi chi phí có thể lên tới khoảng 7 triệu đồng mỗi năm.
Vì sao bộ gõ tiếng Việt dễ bị antivirus hiểu nhầm?
Thực tế, đây không phải là câu chuyện quá xa lạ với các bộ gõ tiếng Việt.
Theo mô tả chính thức, EVKey hỗ trợ hai cơ chế hoạt động là Keyboard Hook và IME (Input Method Editor) để can thiệp trực tiếp vào quá trình nhập liệu trên Windows. Đây cũng là cách phần mềm có thể sửa lỗi dấu, tương thích với nhiều ứng dụng hoặc hạn chế tình trạng loạn phím khi chơi game.
Vấn đề nằm ở chỗ, nhiều phần mềm độc hại như keylogger cũng sử dụng các kỹ thuật tương tự để theo dõi thao tác bàn phím.
Do đó, các công cụ bảo mật thường áp dụng phương pháp phân tích hành vi (behavior analysis). Chỉ cần một chương trình có khả năng theo dõi bàn phím, can thiệp vào cửa sổ hệ thống, chạy nền hoặc thay đổi một số đoạn mã sau mỗi lần biên dịch, phần mềm diệt virus hoàn toàn có thể đưa ra cảnh báo nhầm (false positive).
Đây là hiện tượng khá phổ biến, thậm chí từng xảy ra với nhiều ứng dụng hợp pháp khác trong quá khứ. Microsoft cũng thừa nhận các giải pháp bảo mật có thể gặp phải tình trạng false positive và cung cấp quy trình riêng để nhà phát triển gửi yêu cầu xem xét lại các tệp bị đánh dấu nhầm.
Dù vậy, với những người đang sử dụng EVKey ổn định ở các phiên bản trước, việc tiếp tục dùng bản cũ trong thời gian chờ tác giả khắc phục có lẽ là lựa chọn an toàn hơn. Ngay cả trong trường hợp đây chỉ là hiện tượng nhận diện nhầm (false positive), việc liên tục bị Windows Defender hoặc các phần mềm diệt virus cảnh báo, tự động cách ly hoặc xóa tệp cài đặt cũng có thể gây ra không ít phiền toái trong quá trình sử dụng hàng ngày.
