Datorföretaget AMI har hamnat i blåsväder sedan en av företagets kunder lämnat känslig information fritt tillgänglig på ett öppet FTP-konto. På FTP-servern har det hittats bland annat källkod för AMI UEFI-bios vilket potentiellt kan användas för att smitta datorer med trojaner och virus.
American Megatrends har inte avslöjat vem av deras kunder som råkat läcka koden men enligt rykten är det den taiwanesiska moderkortstillverkaren Jetway som av oklar anledning lämnat denna mycket känsliga information tillgänglig på en publik ftp-server.
För AMI betyder detta att företaget nu riskerar bli av med företagshemligheter i form av deras arbete med sin UEFI-bios. För konsumenter och företag kan insatsen vara lika hög när hackers och malwareutvecklare får ett ovärderligt verktyg för att sprida illvillig kod. Teoretiskt sätt kan man med hjälp av källkoden skapa falska bios-uppdateringar som kan verifieras som äkta och på detta sätt baka in trojaner eller liknande i bios-uppdateringar som man sedan kan sprida på falska webbplatser eller genom att bryta sig in på moderkortstillverkarnas nerladdningsservrar.
“This kind of leak is a dream come true for advanced corporate espionage or intelligence operations. The ability to create a nearly undetectable, permanent hole in a system’s security is an ideal scenario for covert information collection,” skriver mjukvaruutvecklaren Adam Caudill som avslöjat läckan.
AMI publicerade under fredagen ett pressmeddelande som förklarade närmare vad som har hänt och varför man som konsument inte bör vara särskilt oroad över den läckta koden.
Den signeringskod som hittats i Ivy Bridge-arkivet på ftp-servern är en endast en testnyckel och AMI instruerar alla sina kunder att ändra nyckeln innan man bygger sina bios-uppdateringar för slutgiltiga produkter. Om kunderna följt AMIs riktlinjer bör alltså koden inte fungera med de bios-versioner som används på konsumenprodukter.
Ivy Bridge-koden var tydligen inte heller editerad vilket betyder att kunden inte hade gjort några ändringar på denna version, vilket ger förhoppningar om att den version av mjukvaran som används i produkter är av nyare snitt.
“Therefore, even though the test keys were unfortunately leaked via this unsecure FTP site, a production level private key used by a customer cannot be obtained with the information made public. Thus, AMI can state that this leak will not compromise the security of systems in the field if the BIOS for the production machines are created using production keys.” skriver AMI i ett pressmeddelande.
AMI poängterar också att deras rutiner och säkerhetsnät inte brustit utan att detta handlar om oaktsamhet hos en av företagets kunder.