Компания Intel подтвердила подлинность утечки исходного кода для UEFI BIOS процессоров Alder Lake, что вызвало обеспокоенность исследователей в области кибербезопасности.
Alder Lake – это название процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.
В пятницу пользователь Twitter под ником “freak” разместил ссылки на исходный код прошивки UEFI процессоров Intel Alder Lake, который, по его словам, был опубликован на 4chan.
Ссылка вела на репозиторий GitHub под названием ‘ICE_TEA_BIOS’, который был загружен пользователем под ником ‘LCFCASD’. Этот репозиторий содержал то, что было описано как “код BIOS из проекта C970”.
Утечка содержит 5,97 Гб файлов, исходный код, закрытые ключи, журналы изменений и инструменты компиляции, причем последняя временная отметка на файлах – 30.9.22, вероятно, когда хакер или инсайдер скопировал данные.
Как сообщили BleepingComputer, весь исходный код был разработан компанией Insyde Software Corp, занимающейся разработкой прошивки системы UEFI.
Утечка исходного кода также содержит многочисленные ссылки на Lenovo, включая код для интеграции с “Lenovo String Service”, “Lenovo Secure Suite” и “Lenovo Cloud Service”.
На данный момент неясно, был ли исходный код украден во время кибератаки или утечка произошла посторонним лицом.
Однако Intel подтвердила Tom’s Hardware, что исходный код является подлинным и представляет собой “собственный код UEFI”.
“Наш собственный код UEFI, похоже, был утечен третьей стороной. Мы не считаем, что это открывает какие-либо новые уязвимости безопасности, поскольку мы не полагаемся на обфускацию информации в качестве меры безопасности. Этот код подпадает под нашу программу “bug bounty” в рамках кампании Project Circuit Breaker, и мы призываем всех исследователей, которые могут обнаружить потенциальные уязвимости, обратить на них внимание в рамках этой программы. Мы обращаемся как к клиентам, так и к сообществу исследователей безопасности, чтобы проинформировать их об этой ситуации”. – Пресс-секретарь Intel.
Исследователи безопасности обеспокоены
Хотя Intel преуменьшила риски для безопасности, связанные с утечкой исходного кода, исследователи безопасности предупреждают, что содержимое может облегчить поиск уязвимостей в коде.
“Злоумышленники/охотники за ошибками могут извлечь огромную пользу из утечек, даже если утечка OEM-реализации лишь частично используется в производстве”, – объясняет компания Hardened Vault, специализирующаяся на безопасности аппаратного обеспечения.
Меня тут школа программирования для детей КодКрафт заинтересовала, мне кажется такая информация порадует и заинтересует очень многих. По этому, если вам это интересно, то стоит обязательно посмотреть.