Популярный ДНК-секвенатор оказался уязвим из-за 7-летней прошивки

Исследователи из компании Eclypsium, занимающейся безопасностью встроенного ПО, заявили, что ДНК-секвенатор Illumina iSeq 100 не использует Secure Boot для защиты устройств Windows от угрозы заражением вредоносным ПО. Этот секвенатор выступает основным продуктом в 23andMe и тысячах других лабораторий по секвенированию генов по всему миру.

В 2012 году отраслевая коалиция производителей оборудования и программного обеспечения приняла Secure Boot для защиты устройств Windows от угрозы вредоносного ПО, которое могло заразить BIOS, а позднее и прошивку UEFI, которая загружала операционную систему каждый раз при загрузке компьютера.

Вредоносное ПО в прошивке опасно тем, что заражает устройства ещё до загрузки операционной системы, то есть каждый раз при запуске. Secure Boot же использует криптографию с открытым ключом для блокировки загрузки любого кода, который не подписан предварительно одобренной цифровой подписью.

С 2016 года Microsoft требует, чтобы все устройства Windows включали доверенный платформенный модуль для обеспечения безопасной загрузки. Однако компании сложнее требовать принудительной безопасной загрузки на специализированных устройствах, таких как научные приборы, используемые в исследовательских лабораториях. В результате такое оборудование по-прежнему остаётся уязвимым. 

Например, iSeq 100 может загружаться из режима поддержки совместимости, поэтому он работает со старыми устаревшими системами, такими как 32-разрядные ОС. В этом случае iSeq загружается из BIOS B480AM12, версии 2018 года. Она содержит критические уязвимости, которые можно использовать для выполнения атак на встроенное ПО.

В Eclypsium также отметили, что в iSeq 100 не работает защита от чтения/записи прошивки. Таким образом, злоумышленник может