Softwarelæk kan åbne døren for BIOS-hackere

AMI bekræfter, at kildetekst til UEFI BIOS er lækket på nettet, men afviser, at brugernes sikkerhed er truet.

Artikel top billede

Sikkerhedsforskeren Adam Caudill har fundet kildeteksten til UEFI BIOS-firmware og en tilhørende privat krypteringsnøgle fra American Megatrends (AMI) på en åben FTP-server i Taiwan. Denne nøgle kan bruges til at udvikle falske BIOS-opdateringer med malware, som så kan smugles ind på computeren.

AMI har nu udsendt en pressemeddelelse og bekræftet, at UEFI-kildeteksten og den private nøgle er ægte. Men det er en af selskabets partnere og ikke AMI selv, der har lækket koden.

Desuden mener AMI, at sikkerhedstruslen er begrænset. Der er kun tale om en testnøgle, forklarer selskabet, og den bliver normalt skiftet ud med en produktionsnøgle i den færdige BIOS.

Testnøglen er kun beregnet til udviklere, og den lækkede kode samt nøgle burde derfor ikke være en trussel mod brugere med AMIs firmware. Men det kan ikke garanteres, at nogle producenter ikke har brugt testnøgler i deres færdige produkter - stik imod AMI's anbefalinger.

"Sagen er bekymrende, men AMI vil gerne understrege overfor sine kunder og partnere, at det ikke burde være et sikkerheds-problem for dem. Hvis de har fulgt den normale procedure for BIOS-signering, vil sikkerhedsfunktionerne i vores BIOS og signatur-processen fungere som ønsket og være 100 pct. sikker," lyder kommentaren fra AMI-chef Subramonian Shankar.

Men selv hvis nøglerne ikke direkte kan bruges til at smugle skadelig kode ind på computere med UEFI fra AMI, er den lækkede kode alligevel et problem for selskabet. Hackere kan hente og analysere koden og bruge den til at finde svagheder, der kan udnyttes til angreb.

Adam Caudill henviser til, at UEFI-firmware kun sjældent bliver opdateret, og dermed kan der gå lang tid, inden mulige sikkerhedshuller bliver rettet.

Læses lige nu

    Annonceindlæg fra HP

    En AI-specialist værdsætter dokumenteret ydeevne og lokal computerkraft

    Forsker og ingeniør inden for AI Robert Luciani arbejder med det nyeste i kunstig intelligens.

    Navnenyt fra it-Danmark

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS