Можно снять крышку, вытащить диск, переписать на нём загрузчик и поставить обратно.
Можно найти баг в загрузчике или ОС, получить рута и переписать загрузчик.Secure Boot в таких случаях защитит пользователя, так как откажется грузиться в скомпрометированную систему.
Тут конечно остаётся вопрос, раз злоумышленник смог проникнуть в систему, то он и повторить это сможет. Но это должно решаться обновлениями безопасности.
Vendor-lock это хорошо, если каждый без особых усилий может стать vendor'ом — выпускать свои подписанные загрузчики и ядра. А спецификация Secure Boot требует наличия возможности загрузить пользовательские ключи, против которых проверяется загрузчик ОС.