Von einer BIOS – Sicherheitslücke, die Millionen PCs gefährdet, berichtete aktuell pc-magazin. Es war der Hackerwettbewerb Pwn2Own, den Forscher nutzten, um ein Verfahren zu zeigen, mit dem das Computer-BIOS kompromittiert werden kann und somit Millionen von Geräten gefährdet sind.
Laut den Forschern seien nur "mittelmäßige" Hacking-Kenntnisse notwendig, um Millionen von Geräten zu kompromittieren. Dadurch, dass ein BIOS bereits aktiv wird, bevor eine installierte Antiviren- oder Sicherheitssoftware eingreift, kann die Malware auch nach etwaiger Formatierung und Neuinstallation des Betriebssystems noch funktionstüchtig sein. Laut den Entdeckern, die die Malware "LightEater" tauften, konnte diese sogar mit vollständigen System-Rechten ausgestattet werden, was es den Forschern erlaubte, auch als sicher geltende Betriebssysteme wie die Linux-Distribution Tails auszuhebeln. Die Kompromittierung des BIOS kann über zwei Methoden realisiert werden. Denkbar wären eine Phishing-E-Mail oder die direkte Interaktion mit dem Gerät. Beim direkten Zugriff soll das BIOS innerhalb zwei Minuten infiziert sein. Problematisch ist die markenunabhängige Anfälligkeit des BIOS. Die meisten Versionen eines solchen Systems basieren auf demselben Code, sodass es den beiden Sicherheitsforschern gelang, mehr als 80 Prozent der von ihnen untersuchten Systeme zu knacken. Unter anderem konnten PCs von Dell, Lenovo und Hewlett-Packard erfolgreich infiziert werden. Zudem seien die Lücken so einfach zu finden gewesen, dass sie schlussendlich ein Skript zur Identifizierung eines kompromittierbaren BIOS entwickelt hätten.
