BadBIOS is een Trojan op BIOS-niveau die Windows-, MacIntosh-, Linux- en BSD-systemen kan aantasten.
Het BIOS (Basic Input / Output System) is de firmware die wordt uitgevoerd terwijl een computer opstart. Een BIOS-aanval infecteert het BIOS met kwaadaardige code en is hardnekkig via reboots en pogingen om de firmware te reflashen.
Er is geen consensus in de beveiligingsgemeenschap over de vraag of BadBIOS daadwerkelijk bestaat. Beveiligingsexpert Dragos Ruiu maakte in 2010 melding van BadBIOS. Volgens Ruiu kan de malware wijzigingen aanbrengen in het geïnstalleerde besturingssysteem en is het reactief, waarbij gegevens en configuratiewijzigingen worden verwijderd die zijn aangebracht in een poging om het te bestrijden. Ruiu ontdekte dat BadBIOS kon infecteren via externe opslag, waarbij ook de firmware van flash drives werd aangetast. Zelfs het aansluiten van de drive zonder te mounten bracht de infectie over. De onderzoeker meldde ook dat de infectie heimelijke IPv6-netwerken en akoestische mesh-netwerken kan creëren en in staat is om systemen met air gaps te doorbreken en uit te buiten.
Riu's verdenkingen werden gewekt toen een Macbook Air met een onlangs opnieuw geïnstalleerd OS X spontaan zijn firmware flashte. Vervolgens wilde het systeem niet meer opstarten vanaf CD. Ruiu merkte vervolgens op dat zijn configuratiewijzigingen en gebruikersgegevens waren gewist.
De onderzoeker merkte op dat dit niet de enige getroffen machine was en dat de infectie niet beperkt was tot OS X. Een air gapped BSD machine waarvan de drives waren vervangen en het BIOS opnieuw was geflasht, was ook gecompromitteerd, en vertoonde dezelfde soort reactieve veranderingen als op de OS X machine. Ruiu zag IPv6 pakketten zijn netwerk verlaten, ondanks het feit dat hij IPv6 helemaal had uitgeschakeld. Getroffen Linux- en Windows-machines werden ook ontdekt.
Ruiu stelde vast dat de air gapped machine heimelijk gegevens naar andere computers kon sturen met behulp van een ultrasoon signaal uit de luidsprekers, dat werd opgepikt door andere geïnfecteerde luisterende computers -- een concept dat bekend staat als akoestische infectie en dat is gedemonstreerd in een proof of concept exploit.
Bij beveiligingsexperts die geloven dat BadBIOS bestaat, wordt gespeculeerd dat de Trojan deel uitmaakt van de hacktools van de National Security Agency (NSA), waarvan is aangetoond dat ze hardware- en firmware-backdoors bevatten.
Hoewel er veel sceptici blijven over het bestaan van BadBIOS, is zo'n beetje elk concept dat door Ruiu is beschreven, bewezen als concept of gebruikt in de echte wereld. De combinatie van het gebruik van het concept in een heimelijk geïnstalleerd pakket is wat wordt betwijfeld. Er is geen code voor de exploit gevonden. Toen Dragos de UEFI code extraheerde werd er niets gevonden. Hij suggereerde dat BadBIOS wellicht de mogelijkheid heeft om zichzelf te wissen. Veel anderen veronderstelden dat de infectie elders zat, misschien op controller chips, of dat het niet bestond. Vooralsnog is er geen definitief bewijs dat de malware bestaat. Maar verdere lekken van NSA-firmware hebben sindsdien aangetoond dat meer beweringen die ermee in verband worden gebracht mogelijk zijn.