Quando c’è di mezzo il debugging ed il testing anche i meccanismi software di sicurezza basati su chiavi ed algoritmi potrebbero avere il loro “da fare”.
In particolare ciò è successo per Microsoft Secure Boot, il meccanismo di sicurezza implementato in UEFI che impedisce l’installazione di sistemi operativi e software a basso livello sui sistemi dotati di Windows 8 e superiori – Windows Phone e Windows RT inclusi – senza che questi siano firmati con una chiave Microsoft.
Se ciò sulla carta aveva fini di sicurezza – in tal modo non è possibile installare bootkit e rootkit sul sistema -, di fatto ha impedito l’installazione di Android (o altri sistemi operativi) su dispositivi come i Surface RT, Surface 2, Surface 3 e terminali Windows Phone, poiché per politica aziendale Secure Boot non è disattivabile sui device ARM.
Tuttavia Microsoft, per fini di debugging, ha lasciato aperta una “porticina” che permettesse a sviluppatori e debugger di installare a basso livello software non firmato a fini di testing: questa “porticina” prende il nome di Golden Key, è stata scoperta da due ricercatori di sicurezza e, siccome è sfruttabile da chiunque abbia un minimo di competenza, è stata segnalata come vulnerabilità.
Vulnerabilità a cui Microsoft ha tentato di porre rimedio con il recentissimo Patch Tuesday di agosto; tuttavia la soluzione, secondo gli esperti, non è efficace abbastanza.
In realtà potrebbe non esserci una soluzione a questa vulnerabilità, che rischia di rimanere aperta per sempre. Ad aggravare ancor di più il tutto è la recentissima pubblicazione online della Golden Key: ciò significa, in pratica, che chiunque abbia dimestichezza è in grado di disattivare Secure Boot anche su dispositivi ove non è permesso.
Ciò significa due cose: la prima è che i criminali informatici potrebbero implementare nuovi malware in grado di sfruttarla per disattivare Secure Boot ad insaputa dell’utente.
La seconda, visto l’evidente stato di abbandono di Windows RT e di Windows Phone è che, anche se fosse trovata una soluzione che ponga rimedio alla diffusione della Golden Key, sui dispositivi dotati di tali sistemi operativi (e non aggiornabili ufficialmente a Windows 10 Mobile) potrebbe essere possibile installare Android, una distribuzione di Linux o qualsiasi altro sistema operativo non firmato.
Pessima notizia per Microsoft, dunque, ma anche per gli utenti che si affidano al Secure Boot per restare sicuri, poiché potrebbero presto essere diffusi malware in grado di bypassare anche tal sistema.
A meno che Microsoft non riesca a porvi rimedio, ovvio.
