几天前,一名用户在知名的匿名网站 4chan 上公开了英特尔 Alder Lake UEFI 的源代码,与此同时还有一份文件副本被发布到了 GitHub 上(目前这两个网站上的文件均已无法访问,但已在网上传播)。该源代码文件是一个容量达到了 2.8GB 的压缩包,解压后的容量为 5.86GB。
事发几天之后,目前英特尔正式确认源代码泄漏:
我们专有的 UEFI 代码似乎已经被第三方泄露了,我们不认为这暴露了任何新的安全漏洞。这段代码属于我们的 "Project Circuit Breaker" 漏洞赏金计划,我们鼓励任何发现潜在漏洞的研究人员通过该计划提请我们注意这些漏洞。我们正在与客户和安全研究员联系,让他们了解这一情况。
通过官网查询该计划可发现,英特尔会根据报告问题的严重程度,对每个漏洞奖励 500 到 10 万美元。
此次泄漏的源代码包含了大量的文件和工具,用于为英特尔的 Alder Lake 平台和芯片组构建 BIOS/UEFI。计算机的 BIOS/UEFI 会在操作系统加载之前初始化硬件,包括建立与某些安全机制的连接,如 TPM(可信平台模块)。现在 BIOS/UEFI 代码发生了泄漏,并且也得到了官方确认,黑客和安全研究人员无疑都会研究这部分代码,以寻找潜在的后门和安全漏洞。
英特尔并没有对外透露此次是谁泄露了代码,以及通过何种途径泄露的,但其中一份文件显示 "Lenovo(联想) Feature Tag Test Information",似乎表明此次泄漏并非来自英特尔内部,而是源于与其合作的 OEM 厂商。
如果源代码真的是如上面所找到的信息来自于英特尔的 OEM 合作伙伴,那么此次泄漏事件可能并不会有太大的影响。目前与英特尔合作的主板供应商和 OEM 制造商都拥有类似的工具和信息,他们可以为英特尔平台构建相应的固件,英特尔会在将这些信息交给 OEM 前,擦除其中过于敏感的内容。
近期发生的黑客攻击事件呈上涨趋势,前段时间 AMD 也发生了一起通过 OEM 厂商窃取信息的事件,黑客通过 AMD 的合作伙伴技嘉(Gigabyte)窃取了 112GB 的敏感数据,当时该数据与 AMD 即将推出的 Zen 4 处理器相关,后来随着 AMD 正式发布 Zen 4 处理器,证实了泄漏信息是真实的。
除了英特尔和 AMD,今年发生过源代码泄漏的公司还包括三星、LastPass 密码管理器,以及拥有《GTA 6》游戏的 Rockstar 等。