BadBIOS é um Trojan ao nível da BIOS que pode afectar sistemas Windows, MacIntosh, Linux e BSD.
A BIOS (Basic Input / Output System) é o firmware que corre enquanto um computador arranca. Um ataque da BIOS infecta a BIOS com código malicioso e é persistente através de reinicializações e tentativas de reflash do firmware.
Não há consenso na comunidade de segurança sobre se BadBIOS realmente existe. O especialista em segurança Dragos Ruiu relatou a existência do BadBIOS em 2010. De acordo com Ruiu, o malware pode fazer alterações no sistema operacional instalado e é reativo, deletando dados e alterações de configuração feitas em um esforço para combatê-lo. Ruiu descobriu que o BadBIOS pode infectar via armazenamento externo, afetando o firmware da unidade flash também. Mesmo conectando a unidade sem montagem ainda transmitia a infecção. O pesquisador também relatou que a infecção pode criar redes IPv6 encobertas e redes de malha acústica e é capaz de violar e explorar sistemas de air gapped.
Ruiu levantou as suspeitas quando um Macbook Air com um OS X recentemente reinstalado flasheou espontaneamente seu firmware. posteriormente, o sistema não inicializaria a partir do CD. Ruiu observou posteriormente que suas alterações de configuração e dados de usuário foram excluídos.
O pesquisador observou que esta não era a única máquina afetada e que a infecção não estava limitada ao OS X. Uma máquina BSD com air gap que teve seus drives substituídos e sua BIOS re-explodida também foi comprometida, e exibiu o mesmo tipo de alterações reativas vistas na máquina OS X. Ruiu viu pacotes IPv6 saindo de sua rede, apesar de ter desabilitado o IPv6 por completo. As máquinas Linux e Windows afetadas também foram descobertas.
Ruiu observou que a máquina com air gap podia enviar dados para outros computadores usando um sinal ultra-sônico dos alto-falantes, que foi captado por outros computadores ouvintes infectados - um conceito conhecido como infecção acústica que foi demonstrado em uma prova de exploração conceitual.
Entre os especialistas em segurança que acreditam que o BadBIOS existe, há especulações de que o Trojan está entre as ferramentas de hacking da Agência Nacional de Segurança (NSA), que demonstraram incluir backdoors de hardware e firmware.
Embora haja muitos céticos sobre a existência do BadBIOS, quase todos os conceitos descritos por Ruiu foram provados como um conceito ou usados no mundo real. A combinação do uso do conceito em um pacote instalado secretamente é o que é duvidado. Nenhum código para o exploit foi localizado. Enquanto o Dragos extraiu o código UEFI, nada foi encontrado. He sugeriu que BadBIOS pode ter a capacidade de apagar a si mesmo. Muitos outros assumiram que a infecção estava em outro lugar, talvez em chips controladores, ou que ela não existia. Até agora não há provas definitivas que o malware existe. No entanto, mais fugas de firmware da NSA têm desde demonstrado que mais reivindicações associadas a ele são possíveis.