O código fonte da BIOS/UEFI dos processadores Alder Lake da Intel foi roubado e ficou disponível publicamente no GitHub.
Segundo o The Hacker News o código continha informação associada aos processadores da Intel e, agora que foi roubado, o seu desaparecimento está a preocupar a própria Intel que já confirmou que o código que foi tornado público é verdadeiro.
Ainda não se sabe se o ataque foi feito diretamente na Intel, através de uma das suas empresas afiliadas, ou se alguma fonte interna da Intel (algum funcionário) terá acedido ao conteúdo.
O código começou por ser disponibilizado a partir do 4chan, sendo que estava alojado sobre o GitHub e acessível por qualquer pessoa.
No total, foram disponibilizados quase 6 GB do respetivo código, de ferramentas para criação das BIOS e otimização das mesmas, mas o mais grave é o que esse código-fonte poderá revelar, como potenciais falhas de segurança relacionados com o módulo TPM (Trusted Platform Module) – tudo o que, resumidamente, permite verificar os conteúdos da BIOS/UEFI dos processadores. A situação pode complicar-se se se confirmar que algumas das chaves privadas, existentes sobre o código, estão realmente a ser usadas em sistemas em produção.
O código encontra-se disponível como parte da campanha do Project Circuit Breaker e pode ser usado para o programa de Bug Bounty da mesma. Este programa de deteção de bugs permite que utilizadores descubram potenciais falhas e vulnerabilidades, enviando os problemas detetados à Intel para que esta os resolva.
O firmware em questão foi desenvolvido pela empresa Insyde Software Corp, e o código divulgado, segundo vários investigadores, possui referências à Lenovo, tendo em conta a integração de nomes como “Lenovo String Service” e “Lenovo Secure Suite”.
De recordar que os novos processadores da Intel, anteriormente conhecidos pelo nome de código Raptor Lake, e que melhoram o desempenho do sistema mesmo em cargas multitarefa, já foram anunciados e estarão prestes a chegar ao mercado. A solução torna possível, por exemplo, atender uma chamada, que chega via smartphone, no computador. Também facilita a transferência de ficheiros, mensagens de texto e outras notificações.
