Intel potvrdil únik zdrojového kódu UEFI BIOS pre procesory Alder Lake

Intel potvrdil únik zdrojového kódu UEFI BIOS 12. generácie Intel Core (Alder Lake). Zahŕňa 5,97 GB údajov vrátane zdrojových kódov, súkromných kľúčov, protokolov zmien a nástrojov na kompiláciu. Najnovší súbor je z 30. septembra 2022.

Výskumníci poznamenávajú, že zdrojový kód obsahuje veľa odkazov na Lenovo, vrátane „Lenovo String Service“, „Lenovo Secure Suite“ a „Lenovo Cloud Service“. Momentálne nie je známe, či bol únik výsledkom kybernetického útoku, alebo údaje zverejnil nejaký insider.

Zdá sa, že proprietárny kód UEFI spoločnosti Intel zverejnila tretia strana. Spoločnosť neverí, že by to otváralo nejaké nové bezpečnostné chyby, pretože Intel sa nespolieha na zahmlievanie informácií ako bezpečnostné opatrenie. Tento kód je vhodný pre firemný program „bug bounty“ v rámci kampane Project Circuit Breaker.

Vyzývajú všetkých výskumníkov, ktorí môžu objaviť potenciálne zraniteľné miesta, aby ich upozornili na tento program. Intel oslovuje zákazníkov aj komunitu bezpečnostného výskumu, aby ich o tejto situácii informoval.

Odborníci na informačnú bezpečnosť však až takí optimisti nie sú. Faktom je, že tieto údaje pomôžu útočníkom odhaliť zraniteľné miesta v kóde. Ďalším problémom je, že únik obsahuje súkromný šifrovací kľúč KeyManifest pre Intel Boot Guard. Ak tento kľúč Intel skutočne používa, hackeri by ho mohli potenciálne použiť na zmenu zavádzacej politiky a obídenie hardvérovej ochrany.

cez Spoločenstva