由中国厂商Espressif制造的ESP32微芯片无处不在,截至2023年已被超过10亿台设备使用,其中包含一个未记录的"后门",可被用于攻击。这些未记录的命令允许欺骗受信任的设备、未经授权的数据访问、透视网络上的其他设备,并可能建立持久性的存在。
�^��Q�:K$! 
RLHe;-*b]I 这是Tarlogic Security公司的西班牙研究人员Miguel TarascóAcuña和Antonio Vázquez Blanco发现的,他们昨天在马德里举行的RootedCON上介绍了他们的发现。
fp![Pbm�s. >�;3c;�nf� "Tarlogic Security在ESP32中检测到了一个后门,ESP32是一种微控制器,可实现WiFi和蓝牙连接,在数以百万计的大众市场物联网设备中都存在,"与BleepingComputer共享的Tarlogic公告中写道。
<7]
�z�'
}C&c=3��V� "利用这个后门,敌对行为者可以绕过代码审计控制,进行冒充攻击并永久感染敏感设备,如手机、电脑、智能锁或医疗设备。"
w�bS++cF< �cT0g,� ^& 研究人员警告说,ESP32是世界上应用最广泛的物联网(IoT)设备Wi-Fi+蓝牙连接芯片之一,因此其中存在任何后门的风险都很大。
&��s���<� 
�_�gGy(�` 来自RootedCON演示的幻灯片
GKd>��AP_ \%�S�mp2�K 在ESP32中发现后门
�t@H��E.�h $W�PN.,7�� Tarlogic研究人员在RootedCON演示中解释说,人们对蓝牙安全研究的兴趣已经减弱,但这并不是因为蓝牙协议或其实现变得更安全了。
V7�@xr�
�M �r�#�}Sy�\ 相反,去年提出的大多数攻击都没有可用的工具,无法使用通用硬件,而且使用的是过时/未维护的工具,在很大程度上与现代系统不兼容。
�4��Q�V�d{ 5,((�JxX�$ Tarlogic开发了一种新的基于C语言的USB蓝牙驱动程序,该驱动程序独立于硬件且跨平台,可直接访问硬件而无需依赖特定于操作系统的API。
�fI��cv}Y &��4[iC�/} 有了这个新工具,Tarlogic发现了ESP32蓝牙固件中隐藏的供应商特定命令(Opcode 0x3F),这些命令允许对蓝牙功能进行低级控制。
��:ZIcWIV- 
4yM8W�\�je ESP32内存映射
^,5.vf�ES� IyuT=A~Ki 他们总共发现了29条未记录的命令,统称为"后门",可用于内存操作(读/写RAM和闪存)、MAC地址欺骗(设备冒充)和LMP/LLCP数据包注入。
N�.�`]D)57 fytx({I
.a Espressif并未公开记录这些命令,因此,这些命令要么并不具备可访问性,要么是被错误地保留了下来。
D/Wuan?yPN 
o�%��5b�g( 发布HCI命令的脚本
o�|W? a#_\ Y"j��DZG?� 这些命令带来的风险包括OEM层面的恶意实施和供应链攻击。
��<G�w<�(M 5xHiq�&d.E 根据蓝牙堆栈在设备上处理人机交互命令的方式,可能会通过恶意固件或恶意蓝牙连接远程利用后门。
PS�22$_}�� ����0R�]CI 如果攻击者已经拥有root访问权限、植入了恶意软件或在设备上推送了恶意更新,从而打开了低级访问权限,那么情况就会更加严重。
��!%X`c94� z �Y|g#V�- 不过,一般来说,物理访问设备的USB或UART接口的风险要大得多,也是更现实的攻击场景。
��Jq#Cn+zW rh�&on�p
O 研究人员解释说:"如果你能入侵带有ESP32的物联网设备,你就能在ESP存储器中隐藏APT,并对其他设备实施蓝牙(或Wi-Fi)攻击,同时通过Wi-Fi/Bluetooth控制设备。我们的发现可以完全控制ESP32芯片,并通过允许修改RAM和闪存的命令获得芯片的持久性。此外,由于ESP32允许执行高级蓝牙攻击,因此芯片中的持久性可能会扩散到其他设备上"。
OQQ9R?Ll{ QA(,K}z~^S BleepingComputer联系了Espressif公司,要求其就研究人员的发现发表声明,但对方没有立即发表评论。
��o�%%fO��
微博帐号登录