Zwei Sicherheitsforscher präsentierten im Rahmen des Hackerwettbewerbs Pwn2Own schwerwiegende Sicherheitslücken in den gängigen BIOS-Versionen, berichtet das IT-Magazin Wired. Laut den Entdeckern Xeno Kovah und Corey Kallenberg seien nur "mittelmäßige" Hacking-Kenntnisse notwendig, um Millionen von Geräten zu kompromittieren.
Dadurch, dass ein BIOS bereits aktiv wird, bevor eine installierte Antiviren- oder Sicherheitssoftware eingreift, kann die Malware auch nach etwaiger Formatierung und Neuinstallation des Betriebssystems noch funktionstüchtig sein.
Die Anfälligkeiten wurden laut Kovah und Kallenberg innerhalb weniger Stunden entdeckt. Ihre "LightEater" getaufte Malware konnte sogar mit vollständigen System-Rechten ausgestattet werden, was es den Forschern erlaubte, auch als sicher geltende Betriebssysteme wie die Linux-Distribution Tails auszuhebeln.
Die Kompromittierung des BIOS kann über zwei Methoden realisiert werden. Denkbar wären eine Phishing-E-Mail oder die direkte Interaktion mit dem Gerät. Sollte der direkte Zugriff möglich sein, können Kovah und Kallenberg nach eigenen Angaben innerhalb von zwei Minuten das BIOS infizieren.
Problematisch ist die markenunabhängige Anfälligkeit des BIOS. Die meisten Versionen eines solchen Systems basieren auf demselben Code, sodass es den beiden Sicherheitsforschern gelang, mehr als 80 Prozent der von ihnen untersuchten Systeme zu knacken. Unter anderem konnten PCs von Dell, Lenovo und Hewlett-Packard erfolgreich infiziert werden. Zudem seien die Lücken so einfach zu finden gewesen, dass sie schlussendlich ein Skript zur Identifizierung eines kompromittierbaren BIOS entwickelt hätten.