Source Code dan UEFI Signing Key AMI BIOS Ditemukan Pada Server FTP Publik


Source Code dan UEFI Signing Key AMI BIOS Ditemukan Pada Server FTP Publik

 Source code beragam versi firmware AMI (American Megatrends Inc.) serta signing key unik untuk pengujian UEFI ditemukan pada server FTP yang diragukan keamanannya. Kebocoran keamanan seperti itu memiliki implikasi buruk bagi sistem desktop dengan motherboard yang mengusung BIOS UEFI dari AMI.

Menurut peniliti keamanan, Adam Caudill, bersama dengan source code yang bocor, terdapat pula signing key unik untuk pengujian UEFI yang mempengaruhi platform ‘Ivy Bridge”. Kebocoran ini bisa membuka kesempatan bagi pihak dengan niat jahat atau hacker untuk mengembangkan pembaruan UEFI yang lolos proses validasi kemudian terinstal pada produk motherboard platform ‘Ivy Bridge’.

UEFI signing key digunakan dalam proses otentikasi; sehingga, jika bocor, maka otentikasi pembaruan BIOS UEFI akan meragukan. Mr. Caudill menambahkan bahwa jika kunci otentikasi yang sama digunakan pula pada produk lain, maka pontesi ancaman kian meningkat. American Megatrend telah menyampaikan respon resmi, menyatakan bahwa signing key yang bocor hanya untuk tujuan pengujian dan tidak digunakan pada produksi sebenarnya. Dengan demikian, produk yang dijual tidak menggunakannya untuk proses otentikasi saat pembaruan BIOS.

Selain itu, server FTP yang diragukan keamanannya tidak berada di bawah pengawasan AMI karena dioperasikan oleh salah satu konsumen AMI. Meski terjadi masalah keamanan, AMI mengklaim bahwa kejadian ini tidak akan mengancam keamanan sistem yang sudah ada di pasar jika BIOS yang digunakan menggunakan signing key produksi bukan pengujian. Meski demikian, menurut kami tetap saja ada kemungkinan sistem yang telah diproduksi menggunakan BIOS hasil validasi signing key yang bocor menjadikannya target potensial bagi para hacker. Sebagai langkah pencegahan, sebaiknya matikan pembaruan otomatis BIOS sistem Anda. Lakukan pembaruan BIOS secara manual menggunakan firmware dari sumber terpercaya.

Sumber: AMI, Adam Caudill

Semua Kategori Berita

Berita 12 Bulan Terakhir