Az elmúlt pár napban igencsak érdekes, nagyjából 6 GB-os adattömeg került fel a webre, amiről azt állították, hogy az Intel Alder Lake platform forráskódja, és olyan eszközöket is tartalmaz, amelyekkel UEFI képfájlokat lehet generálni. Az Intel most megerősítette a Tom's Hardware számára, hogy valóban az, aminek látszik: az Alder Lake, saját fejlesztésű UEFI-kódja.
A nagyvállalat szóvivője megjegyzi, hogy a szóban forgó kód a Project Circuit Breaker kampányon belüli, úgynevezett bug bounty program hatálya alá tartozik, így nem számítanak arra, hogy új biztonsági rések kerülnek feltárásra a kiszivárgása miatt, mert eleve arra buzdítják a kutatókat, hogy keressék ezeket és hívják fel rá a cég figyelmét.
Ettől függetlenül a helyzet abból a szempontból kellemetlen a cég számára, hogy az ismert IT biztonságot kutató szakember, Mark Ermolov már most talált Intel Boot Guardhoz használt privát aláírókulcsot a kódban, illetve rálelt pár Boot Guard és TXT (Trusted Execution Technology) technológiához kapcsolódó ACM-re (Authenticated Code Modules) is. Ez gyakorlatilag potenciális fenyegetés a RoT-ra (Root of Trust), vagyis minden olyan forrásra, amely elméletben megbízható, és ezáltal egy olyan furcsa helyzet állt elő, hogy a Boot Guard többet nem számít megbízható technológiának az érintett platformra épülő gyártói rendszereken.
Arról nincs biztos adat, hogy a kiszivárogtatás honnan származik, de a GitHubra feltöltött, s azóta persze eltávolított adattárat egy LC Future Center alkalmazott hozta létre, és a szóban forgó vállalatnak meg is lehettek ezek az adatok, hiszen egy kínai székhelyű ODM-ről van szó, amely többek között a Lenovo számára gyárt notebookokat.
Valószínűleg a legfőbb kérdés, hogy a kiszivárgott adatokkal mit lehet kezdeni. Jelenleg a publikussá vált privát aláírókulcs okozhatja a legnagyobb gondot, mivel ezzel most még aláírható egy rosszindulatú vagy módosított UEFI-kép az Alder Lake rendszerekhez, és a gépek el is fogják fogadni majd azt.
A biztonsági rések tekintetében véleményes a helyzet; abban igaza van az Intelnek, hogy Project Circuit Breaker kampánnyal maguk buzdítják sérülékenységek keresésére az egyes szakembereket, de ez nem jelenti azt, hogy kiberbűnözők ne néznék át a megosztott adatokat, kihasználható réseket keresve, ugyanakkor most még nehéz felmérni, hogy ez valóban veszélyt jelent-e majd.
