De broncode voor de Alder Lake bios is online gelekt. Intel bevestigt maar geeft meteen mee dat het lek geen extra beveiligingsproblemen oplevert.
De broncode voor de bios van Intel Alder Lake-processors is dit weekend gelekt op 4chan en Github. Dat ontdekte Tomshardware. Het lek omvatte een bestand van 6 GB met daarin de tools en de code om bios/UEFI-images te maken. Intel bevestigde de diefstal van de broncode.
Geen extra beveiligingsrisico…
“Onze eigen UEFI-code blijkt gelekt te zijn door een derde partij”, klinkt het in een statement. “We geloven niet dat daarmee extra kwetsbaarheden ontstaan, aangezien we niet vertrouwen op de verduistering van informatie als veiligheidsmaatregel.” Intel geeft dus aan niet op security through obscurity te vertrouwen, wat impliceert dat een hacker met de code in de hand in theorie nog steeds geen achterpoortjes zal vinden.
In de praktijk zijn bugs in de code natuurlijk niet uit te sluiten. Intel wijst erop dat de code deel uitmaakt van zijn bug bounty-programma. Beveiligingsonderzoekers die toch een lek vinden, kunnen dat rapporteren en daarvoor beloond worden met 500 dollar tot 100.000 dollar, al naargelang de ernst van de bug.
…of toch?
Onderzoekers zijn effectief al aan de slag gegaan met de code. Beveiligingsexpert Mark Ermolov vond al twee potentiële problemen. Eén heeft te maken met het geheugen, een ander met de private key voor Intel Boot Guard. Die functie wordt zo mogelijk waardeloos, al is het nog te vroeg om de werkelijke impact ervan in te schatten.
Wie verantwoordelijk is voor het lek, is onduidelijk. Naar alle waarschijnlijkheid is Intel niet het slachtoffer van een hack, maar heeft een werknemer van een Intel-partner de code gelekt. Tomshardware wijst naar LC Future Center: een ODM die toestellen voor verschillende OEM’s fabriceert waaronder Lenovo. Eén van de gelekte documenten bevat een verwijzing naar Lenovo, wat die theorie staaft.