Secure Boot представляют как «один ответ» на неисчислимое число «бед» с физической безопасностью, которые «мучают» традиционные компьютеры на базе архитектуры х86 чуть ли не с момента «зарождения». На «практике» же это классический «театр безопасности», который работает лишь иногда.
Начнём с основ. Secure Boot проверяет криптографическую подлинность файлов загрузчика и образа ядра при каждой загрузке — по «задумке», это должно защищать операционную систему от подмены критических файлов. Имя такой атаке — Evil Maid (от англ. — корыстная горничная), и она является наиболее простой из класса физических атак.
Самый главный недочет этой «защиты» можно выявить непосредственно из принципа её работы — ядро системы, как и файлы загрузчика — компоненты критические, но далеко не самые важные на фоне всех остальных «составляющих».
Это особенно актуально при отсутствии шифрования диска; атакующий может заменить системные бинарные файлы (например, SU или systemd в Linux/*nix), и добиться все того же полного заражения системы не прикасаясь к образу ядра, который «обороняет» Secure Boot.
Даже если диск зашифрован, список разрешённых «ключей» исчисляется тысячами — что, разумеется, позволяет полностью обойти Secure Boot просто подписав, например, заражённое ядро «украденным» у одной из множества компаний ключом.
Правильное исполнение Secure Boot — Verified Boot, самыми популярными «носителями» которого являются компьютеры Macintosh на базе Apple Silicon, устройства iOS и телефоны Google Pixel. Принцип работы Verified Boot заключается в проверке полного образа системы — вместе со всеми файлами — а также драйверов и прочей «переферии».
За пример мы возьмём именно Google Pixel. В них за Android Verified Boot отвечает криптографический чип Titan M/M2, который полностью проверяет все файлы загрузчика и «прошивки» (раздел /vendor) с помощью ключа Google, после чего также проверяет все файлы ОС Android, вплоть до системных приложений, используя либо ключ Google, либо же пользовательский.
Это позволяет устранить как и прямую подмену системных файлов, так и их заражение через какую-либо уязвимость. На практике это обеспечивает телефонам Google Pixel практически полную защиту от долгосрочного заражения — после каждой перезагрузки атакующему необходимо начинать с начала.
Отвечая на поставленный вопрос, — Secure Boot, конечно, может вас защитить, но только в исключительных случаях. Любой более-менее компетентный «специалист» с легкостью пройдет мимо него.