PKfail, la falla di Secure Boot scoperta a luglio è più diffusa del previsto
Il problema a carico di Secure Boot, con la scoperta di password di test largamente utilizzate da dispositivi in produzione, interessa un maggior numero di modelli di quanto originariamente stimato, comprendendo anche dispositivi medici e macchine per il voto elettronico
di Andrea Bai pubblicata il 17 Settembre 2024, alle 10:01 nel canale SicurezzaLa grave vulnerabilità PKfail, che era stata scoperta nel corso del mese di luglio e che avevamo definito "vergognosa" sta avendo conseguenze più preoccupanti del previsto, in quanto interessa un numero di dispositivi molto più ampio rispetto a quanto si pensasse inizialmente.
Ricordiamo velocemente che PKfail è una vulnerabilità che nasce dall'uso improprio, per oltre un decennio, di chiavi crittografiche di test (come "DO NOT SHIP" e "DO NOT TRUST") non destinate alla produzione che sono rimaste salvate in centinaia dispositivi con la conseguenza di rendere potenzialmente inaffidabili le protezioni Secure Boot.
I ricercatori di Binarly, la società di sicurezza che a luglio ha scoperto il problema, hanno recentemente aggiornato le loro stime: il numero di modelli di dispositivi che utilizzano le chiavi di test è quasi raddoppiato, salendo dai precedenti 513 a 972, così come sono più che raddoppiati quelli che impiegano le chiavi compromesse presenti su GitHub, passando da 215 a circa 490. Inoltre, sono state scoperte quattro nuove chiavi di test, portando il totale a circa 20.
E c'è un'ulteriore novità: tutte le chiavi compromesse scoperte inizialmente erano state generate da AMI, uno dei tre principali fornitori di kit per sviluppatori che sono usati dai produttori di dispositivi per la personalizzazione del firmware UEFI. Binarly ha però scoperto, nelle sue indagini più recenti, che anche gli altri due fornitori Insyde e Phoenix hanno generato e utilizzato chiavi compromesse.
La situazione è ulteriormente aggravata dal fatto che PKfail interessa non solo i dispositivi elettronici di consumo: i ricercatori di Binarly hanno infatti riscontrato la presenza delle chiavi di test anche su dispositivi medici, server aziendali e anche sistemi utilizzati per operazioni di voto elettronico. Binarly non ha ancora divulgato dettagli e informazioni sui modelli specifici colpiti dalla vulnerabilità dal momento che attualmente non sono ancora disponibili patch correttive.
È importante sottolineare che PKfail rappresenta una minaccia significativa solo per i dispositivi che utilizzano Secure Boot, una protezione obbligatoria per alcuni appaltatori governativi e ampiamente adottata in contesti aziendali. Per gli utenti e i dispositivi che non fanno affidamento su Secure Boot, PKfail non comporta rischi aggiuntivi.
Due mesi di Battlefield 6: dalla campagna al battle royale, è l'FPS che stavamo aspettando
Antigravity A1: drone futuristico per riprese a 360° in 8K con qualche lacuna da colmare
Sony Alpha 7 V, anteprima e novità della nuova 30fps, che tende la mano anche ai creator
Malesia, giro di vite sul mining illegale: 14.000 siti scoperti in cinque anni
Meta rivede la roadmap: visore ultraleggero rinviato al 2027, al via lo sviluppo di Quest 4
Addio ricariche continue con le elettriche economiche: ecco la rimorchio-batteria che promette 300 km in 2 minuti
Maxi sconto sul robot del futuro: roborock Saros Z70 scende di 800€, ha un braccio meccanico che cambia tutto
I 3 super TV OLED e QLED crollati su Amazon oggi: LG OLED e Xiaomi super convenienti
Tre notebook fuori di testa in sconto: MSI e GeForce RTX Serie 50, accoppiata perfetta
Sconti iPhone su Amazon: oggi ci sono i modelli 17 Pro e Pro Max, ecco la selezione di quelli in promozione
Google rende disponibile Gemini 3 Deep Think: il ragionamento IA migliora ancora
I 3 super robot Dreame Aqua10 Roller tornano ai prezzi Black Friday: potenza top da 30000Pa, lavaggio a 100 °C, nessun compromesso
Tornano in sconto le scope elettriche Tineco e Dreame, che hanno spopolato nel Black Friday, i prezzi sono gli stessi, da 179€
IA nei videogiochi: anche SEGA la utilizzerà, ma solo in alcuni casi
Apple in piena tempesta: anche il boss di Apple Silicon pronto a lasciare?
Due GeForce GTX 580 in SLI: l'insospettabile base dell'AI che conosciamo oggi
TSMC dà i numeri: dal processo N7 a quello A14 efficienza migliorata di 4,2 volte
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info/s
/s
Non è un problema di specifica ma di incompetenza/superficialità delle aziende.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo
La soluzione è (se esiste)?
Obbligare l’uso di password da minimo 8-9 caratteri misti che comprendano maiuscole/minuscole/numeri/caratterispeciali
Dovrebbe essere facile a livello di programmazione…
PS
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
Dovrebbe essere facile a livello di programmazione…
Intendo per i sistemi ormai venduti e in produzione, esiste un utility cambio password che il Privato/azienda può usare?
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
In effetti verso le 10-11 capita spesso quel messaggio
Dovrebbe essere facile a livello di programmazione…
Posso però dire che è una tristezza specie in ambito professionale o semi-professionale che si debba prevedere da software come fare le password?
Io posso capire che mio padre ultra-ottantenne possa ancora non sapere che una password semplice e banale sia un problema ma un professionista no. Un professionista di oggi anche se 50enne o 60enne non posso accettare che sia talmente rincoglionito da usare password come 12345 e tanto meno aziende che le mettono come password di default.
Se poi aggiornano il server quelli di HWUpgrade, da nn vedere ogni 30 secondi la scritta “Carico eccessivo sul server…”
Sinceramente ci ho perso le speranze. Ormai sta diventando sempre più frequente.
Se mi metti come password amministratore "12345" e bucano il sistema non è certo colpa del sistema operativo
La soluzione è (se esiste)?
Il problema è che è un sistema non aggiornabile se non per grazia dell'azienda produttrice, che solitamente se ne strabatte.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.
La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.
Credo sia facilmente risolvibile tramite l'update tramite dbx delle firme non attendibile come successe per boot hole.
Col risultato che puoi aggiornare quanto vuoi il sistema operativo, ma la falla al sistema soprastante te la tieni fino alla morte della macchina.
La soluzione? Il sistema dovrebbe essere modulare, aperto, non vincolato dai produttori.
Tipo Coreboot.
Concordo. AMD dovrebbe finalmente rilasciare un firmware open source con Zen 6 e Zen 7. Intel e ARM al momento non sono pervenuti.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".