In numerose piattaforme basate sui chipset Intel, è integrato un piccolo sottosistema a basso consumo energetico chiamato Intel Management Engine (Intel ME), che esegue diverse attività di sicurezza e gestione dell'alimentazione, quando il PC è in sospensione, in fase di avvio o in funzione. Questo chip è controllato da poche righe di codice "chiuso", fornito in bundle con i più recenti processori Intel e (quasi) impossibile da disabilitare da parte di un utente medio.
Ebbene, alcuni ricercatori indipendenti specializzati nella sicurezza dei sistemi hanno notato che Intel Management Engine potrebbe fornire una backdoor per spiare enti governativi, esponendo inevitabilmente i computer a malware. Non si tratta di un'indiscrezione o di pure supposizioni: Intel ha confermato questo rischio dopo aver eseguito un audit ed individuato alcune vulnerabilità in più processori rilasciati negli ultimi anni, che darebbero l'accesso "non autorizzato" a qualsiasi utente che esegue lo stesso codice tramite una chiavetta USB.
I sistemi interessati includono quelli con Intel Management Engine 11.0 fino a 11.7, Intel Server Platform Services versione 4.0 e Intel Trusted Execution Engine 3.0. Quindi inevitabilmente sono inclusi tutti i processori Intel Core di 6th, 7th e 8th gen, Intel Celeron N-Series e J-Series, Intel Pentium (Apollo Lake), Intel Atom E3900 (Apollo Lake), Intel Atom C3000, Intel Xeon W, Intel Xeon E3-1200 v5/v6 e tutta la famiglia di chip Intel Xeon Scalable.
Intel ha rilasciato uno strumento, che potrete scaricare ed eseguire per valutare se il vostro PC Windows o Linux sia interessato, ma al momento non è possibile scaricare alcuna patch di sicurezza. Spetta ai vari produttori di PC rilasciare degli aggiornamenti per correggere questa vulnerabilità ed, in effetti, quasi tutte le aziende hanno iniziato a farlo pubblicando una lista dei notebook e PC affetti e dei vari modi per "aggirare" il problema. E qui trovate una pagina completa, con alcuni dettagli sul bug e link utili per riconoscerlo o aiutarvi a debellarlo.
Stando a quanto leggiamo su Liliputing, l'unica azienda che sembra voler adottare un approccio diverso è System76, conosciuta nel settore per la vendita di notebook Linux-based e per ora la sola ad aver sviluppato un un aggiornamento del firmware per i suoi laptop recenti che disabilita del tutto il Management Engine. Tecnicamente non è un'operazione gradita ad Intel, visto che il chip maker preferisce nascondere il contenuto del codice ed anche il modo per disabilitarlo, ma alcuni ricercatori hanno trovato come farlo ed aziende come Google e Purism stanno già pianificando un programma.
Teniamo a precisare che System76 non disabiliterà Intel ME nei notebook che verranno acquistati/spediti d'ora in poi ma rilascerà un aggiornamento per disabilitarlo sui notebook esistenti con processori Intel Core di sesta, settima o ottava generazione. Quindi, l'aggiornamento del firmware sarà disponibile solo su computer con Ubuntu 16.04 (release successive o altri sistemi operativi Linux) con il driver System76. Anche i PC desktop saranno "protetti" ma in questo caso System76 ha preferito correggere la vulnerabilità piuttosto che disabilitare del tutto Intel Management Engine.