El viernes, una cuenta de Twitter con el alias “freak” compartió enlaces a lo que, según ellos, era el código fuente del firmware UEFI para los Intel Alder Lake. El usuario “freak” afirmó que el código fue puesto a disposición por 4chan. El enlace dirigía a los usuarios al repositorio GitHub “ICE TEA BIOS”, que fue subido por el usuario “LCFCASD”.
Este repositorio incluía lo que se describía como el “Código BIOS del proyecto C970”. Al parecer, el archivo incluía una serie de subarchivos, así como el código fuente, las claves privadas, los registros de cambios y las herramientas de compilación. La fecha más reciente de los archivos era el 30/9/22, que es probablemente cuando un hacker o alguien con información privilegiada descargó los datos.
“Nuestro código UEFI propietario parece haber sido filtrado por terceros. No creemos que esto exponga ninguna nueva vulnerabilidad de seguridad, ya que no confiamos en la ofuscación de la información como medida de seguridad”, dijo un portavoz de Intel a Tom’s Hardware.
Según Bleeping Computer, Insyde Software Corp., una empresa especializada en la producción de firmware de sistemas UEFI, creó todo el código fuente. El código fuente comprometido incluye varias referencias a Lenovo, como el código para integrarse con servicios como “Lenovo String Service”, “Lenovo Secure Suite” y “Lenovo Cloud Service”.
El repositorio de GitHub en el que se puso a disposición el código fuente ya ha sido eliminado, aunque los usuarios pueden seguir accediendo a él a través de otras versiones replicadas.
Hay indicios de que el repositorio fue realizado por un trabajador de LC Future Center, un ODM chino que produce portátiles para varios fabricantes, incluido Lenovo.
El portavoz de Intel dijo a Tom’s Hardware que el código filtrado está cubierto por el programa de recompensas por errores de la campaña Project Circuit Breaker, y que la empresa anima a cualquier investigador que pueda encontrar posibles vulnerabilidades a ponerlas en conocimiento de Intel a través de este programa. El programa de recompensas por fallos de Intel premia a los investigadores por informar sobre fallos de seguridad en los productos de Intel. La recompensa oscila entre 500 y 100.000 dólares en función de la gravedad del problema.
Intel no ha revelado la identidad de la persona que filtró el código ni cómo fue robado.
Aunque Intel ha restado importancia a los riesgos de seguridad que plantea la filtración del código fuente, expertos en seguridad advirtieron que la filtración podría facilitar el descubrimiento de puntos débiles en el código.