ESP32 BT 'backdoor'
Kutatók rejtett „hátsó ajtót” fedeztek fel a széles körben használt ESP32 mikrochipben
A világszerte több mint egymilliárd eszközben megtalálható ESP32 chip dokumentálatlan, gyártóspecifikus parancsokat tartalmaz, melyek használatával lehetőség nyílik az eszköz memóriájának elérésére és a Bluetooth funkcionalitás manipulálására. Biztonsági szakértők hangsúlyozzák, hogy ezek a parancsok közvetlenül nem használhatók ki távolról, csak ha kompromittált firmware kerül(t) az eszközre vagy fizikailag hozzá lehet férni.
Az ESP32 mikrochipben, amely az IoT-eszközök széles körben használt alkatrésze, egy dokumentálatlan, alacsony szintű parancskészletet fedeztek fel. A kínai Espressif cég által gyártott ESP32 kulcsfontosságú összetevő a Wi-Fi és Bluetooth kapcsolathoz számos okoseszközben, beleértve a mobiltelefonokat, számítógépeket, okoszárakat és orvosi berendezéseket.
2023-ban világszerte több mint egymilliárd egységben volt jelen. Ezt a felfedezést a spanyol kutatók, Miguel Tarascó Acuña és Antonio Vázquez Blanco, a Tarlogic Security munkatársai tették.
A kutatók a madridi RootedCON konferencián mutatták be eredményeiket, feltárva az ESP32 Bluetooth firmware-jében található dokumentálatlan, saját fejlesztésű HCI parancsokat. Ez a 29 rejtett, gyártóspecifikus parancsból álló készlet, beleértve az Opcode 0x3F-et is, alacsony szintű vezérlést tesz lehetővé a Bluetooth funkciók felett.
Későbbi blogbejegyzésükben a kutatók enyhítették a „hátsó ajtó” kifejezés használatát felfedezéseik leírására, pontosítva, hogy ezek a saját fejlesztésű HCI parancsok „rejtett funkcióknak” tekinthetők, amelyek olyan műveleteket tesznek lehetővé, mint az ESP32 vezérlő memóriájának olvasása és módosítása. Azonban ezeknek a parancsoknak a használata továbbra is megkönnyítheti az ellátási lánc támadásait vagy a hátsó ajtók elrejtését a lapkakészletben.
Ezen dokumentálatlan parancsok létezése aggodalmakat vet fel a potenciális rosszindulatú implementációkkal kapcsolatban az OEM szinten és az ellátási lánc támadásainak kockázatával kapcsolatban. Bár az Espressif nem dokumentálta nyilvánosan ezeket a parancsokat, jelenlétük valószínűleg inkább felügyeletre utal, mint szándékos beépítésre.
Ezek a parancsok felhasználhatók a memória manipulálására a RAM és a Flash olvasásával és írásával, MAC-címek meghamisítására az eszközök megszemélyesítésére, valamint LMP/LLCP csomagok injektálására. Bár ezek a funkciók önmagukban nem rosszindulatúak, visszaélhetnek velük olyan támadók, akik már hozzáfértek egy eszközhöz, lehetővé téve a megszemélyesítő támadásokat, a biztonsági ellenőrzések megkerülését vagy az eszköz viselkedésének tartós megváltoztatását.
CVE azonosító: CVE-2025-278