Wyciek kodu źródłowego BIOSu platformy Alder Lake potwierdzony, ale Intel uspokaja
W ostatnich dniach na 4chan i Githubie pojawił się kod źródłowy BIOS-u Intel Alder Lake. Mowa o aż 6-gigabajtowym pliku, który to zawierał narzędzia oraz kod do budowania i optymalizacji BIOSu/UEFI, czyli sekwencji, która inicjalizuje sprzęt przed załadowaniem systemu operacyjnego. To więc od tego zależy m.in. nawiązywanie połączeń z np. TPM, czyli jednym z mechanizmów bezpieczeństwa.
Intel zareagował na to szybko, publikując stosowne oświadczenie na łamach Tom’s Hardware. Nie wydaje się jednak, aby firma uważała ten incydent za wielką wpadkę, choć pewne jest, że badacze bezpieczeństwa bez wątpienia zajmą się tym kodem w poszukiwaniu potencjalnych backdoorów i luk bezpieczeństwa. W rzeczywistości to już trwa i pojawiają się wzmianki o tajnych rejestrach MSR, ACM i TXT, które są związane bezpośrednio z bezpieczeństwem, więc nic dziwnego, że Intel zachęca specjalistów do przeglądania kodu i zgłaszania problemów w zamian za nagrodę w wysokości 500-100000 dolarów w ramch programu Bug Bounty.
Czytaj też: W prosty sposób złamali kluczowe zabezpieczenie. Na ile bezpieczni możemy czuć się w cyfrowym świecie?
Wygląda na to, że nasz zastrzeżony kod UEFI został wykradnięty przez stronę trzecią. Nie sądzimy, aby to ujawniło jakiekolwiek nowe luki w zabezpieczeniach, ponieważ nie polegamy na ukryciu informacji jako środka bezpieczeństwa. Kod ten jest objęty naszym programem bug bounty w ramach kampanii Project Circuit Breaker i zachęcamy badaczy, którzy mogą zidentyfikować potencjalne luki, do zwrócenia na nie uwagi za pośrednictwem tego programu. Docieramy zarówno do klientów, jak i społeczności badaczy bezpieczeństwa, aby informować ich o tej sytuacji– stwierdził rzecznik Intela.
Czytaj też: Recenzja Samyang AF 50mm F/1.4 II Sony FE – tak, w tydzień można się zakochać
Co ciekawe, wszystkie informacje wskazują na to, że wyciek ten ma związek z Lenovo. Potwierdza to fakt, że opublikowane początkowo (już zdjęte, ale ciągle replikowane) repozytorium na GitHubie zostało stworzone przez pracownika LC Future Center, a więc chińskiej firmy ODM, która produkuje laptopy dla kilku producentów OEM, a w tym Lenovo. Dodatkowo, jeden z dokumentów, będących częścią wycieku, odnosi się do “Lenovo Feature Tag Test Information”, a sam fakt, że wiele plików dzierży określenie “Insyde”, wskazuje na Insyde Software, czyli firmę, która dostarcza firmware BIOS/UEFI producentom OEM i jest znana ze współpracy z Lenovo.