PKfail: на миллионах устройств скомпрометирован Secure Boot

Месяц выдался занятным для кибербезопасности. На очереди компрометация Secure Boot на более чем 500 моделях практически от всех крупных производителей. Проблема сводится к двум отдельным кейсам, суммарно охватывающим миллионы устройств.
В первом случае в декабре 2022-го был скомпрометирован ключ платформы, которым подписаны 215 устройств. Некто работающий с производителями в Штатах оставил ключ в публичном репозитории под 4-значным паролем. Сколько он там провисел, неизвестно, но уже в январе 2023-го светился в атаках. Во втором случае больше 300 моделей также подписаны уязвимыми ключами. 21 ключ идёт со строками «DO NOT SHIP» и «DO NOT TRUST». Каким образом тестовые ключи массово попали в прод полудюжины производителей, неизвестно. Ни одна из компаний не ответила на этот вопрос, все отделались туманным корпоспиком. При этом ошибка-то критическая, и Secure Boot потенциально скомпрометирован на миллионах устройств, выпущенных с мая 2012-го по июнь 2024-го года.