Sedan Windows 8 har Microsoft skeppat sitt operativsystem med säkerhetsfunktionen Secure Boot. Kortfattat styr Secure Boot vilken kod som får köras under Windowsenheters uppstartsprocess. Fullt aktiverat hindrar systemet maskiner från att till exempel köra andra operativsystem än de signerade av Microsoft, som på ARM-versionen av Microsofts egna Surface.
Det är två säkerhetsforskare under namnen MY123 och Slipstream som i ett blogginlägg beskriver hur de fått tag på policyn som låser upp Secure Boot. Internt på Microsoft kan policyn till exempel ha använts för att testa versioner av Windows som ännu inte är korrekt signerade.
Av allt att döma har Microsoft av misstag skeppat enheter till konsumeter med policyn avaktiverad och gömd, där den sedan hittats av forskarna. Efter att ha kontaktat Microsoft i mars hävdar MY123 och Slipstream att det tog en månad innan företaget beslutade att säkerhetshålet var ett problem.
Sedan juli har Microsoft släppt två säkerhetsuppdateringar för att åtgärda problemet. En tredje ska vara på väg, men det råder osäkerhet om säkerhetshålet går att täppa igen helt. I ett uttalande till Pcworld försäkrar dock Microsoft att det bara är ett problem på ARM- och Windows RT-enheter. Dessutom krävs det både fysisk åtkomst och administratörsrättigheter för att kunna utnyttja hålet.
Federala polismyndigheten FBI har tidigare krävt av Apple att liknande "guldnycklar" till IOS ska göras tillgängliga för att kunna låsa upp misstänktas telefoner som en del av brottsutredningar. Flera stora mjukvaruutvecklare och säkerhetsexperter menar att den typen av system lätt skulle kunna hamna i händerna på kriminella och därmed utgöra ett rejält säkerhetshot.
