تقریباً 9 درصد از تصاویر سفتافزار آزمایش شده از کلیدهای رمزنگاری غیر تولیدی استفاده میکنند که به طور عمومی شناخته شده یا در نشت دادهها به بیرون درز کردهاند و بسیاری از دستگاههای Secure Boot را در برابر حملات بدافزار بوت کیت UEFI آسیبپذیر میکنند.
حمله زنجیره تامین که با نام “PKfail” و شناسه CVE-2024-8105 ردیابی میشود، توسط تست Secure Boot Master Key (Platform Key “PK”) ایجاد میشود، که قرار بود سازندگان کامپیوتری با کلیدهای تولید شده ایمن خود جایگزین کنند.
با وجود اینکه این کلیدها به عنوان “DO NOT TRUST” علامتگذاری شده بودند، اما کماکان توسط بسیاری از سازندگان کامپیوتری از جمله Acer، Dell، Fujitsu، Gigabyte، HP، Intel، Lenovo، Phoenix و Supermicro استفاده میشود.
https://www.bleepingcomputer.com/news/security/pkfail-secure-boot-bypass-remains-a-significant-risk-two-months-later/
