Microsoft har av misstag delat med sig av nycklarna till sitt kungarike. Med hjälp av dem går det bland annat att installera valfritt operativsystem på enheter som är låsta till Windows.
Universalnycklarna låser upp surfplattor, mobiltelefoner och datorer som skyddas av secure boot, skriver säkerhetsforskarna MY123 och Slipstream i ett blogginlägg. Det är en säkerhetsåtgärd som introducerades i Windows 8 och ska säkerställa att ingen okänd kod körs under datorns uppstartsprocess.
Läs också: Windows 10 ökade med raketfart i Sverige under sista gratisveckorna
Dessutom kan secure boot stoppa enheten från att köra andra operativsystem än Windows. Så är fallet för med bland annat Windows RT-enheter, Hololens och Windows Phone. Med universalnyckeln går det att låsa upp dem och installera en Linux-distribution eller Android.
Men att någon kör Ubuntu på en Lumia-telefon är Microsofts minsta problem. Med hjälp av nyckeln går det att smyga in skadlig kod – rootkits eller bootkits – som körs automatiskt när operativsystemet startar.
Det är förmodligen inte speciellt många som förlitar sig på secure boot för att skydda mot den typen av angrepp, och dessutom krävs det fysisk åtkomst till enheten. Men det visar med all önskvärd tydlighet hur illa det kan gå om man tappar nycklarna till sin bakdörr på gatan.
Läs också: Företagare se hit! Detta måste ni veta om Windows 10 Anniversary Update
The Register skriver att nyckeln förmodligen använts av Microsofts utvecklare när de testat mjukvaran. Men av misstag verkar den ha följt med ett antal datormodeller ut i handeln, varpå skarpsynta säkerhetsexperter som MY123 och SLipstream lagt vantarna på den.
Sedan forskarna meddelade sina fynd har Microsoft släppt två uppdateringar för att täppa till hålet, men nyckeln går fortfarande att använda i viss utsträckning. Först i en tredje uppdatering, som ska släppas i september, väntas problemet vara helt löst.
