由中国厂商Espressif制造的ESP32微芯片无处不在,截至2023年已被超过10亿台设备使用,其中包含一个未记录的"后门",可被用于攻击。这些未记录的命令允许欺骗受信任的设备、未经授权的数据访问、透视网络上的其他设备,并可能建立持久性的存在。
D2\Ep���L/ 
t
Q>�/�1�� 这是Tarlogic Security公司的西班牙研究人员Miguel TarascóAcuña和Antonio Vázquez Blanco发现的,他们昨天在马德里举行的RootedCON上介绍了他们的发现。
owO��&[�D/ v�6T<K)S�� "Tarlogic Security在ESP32中检测到了一个后门,ESP32是一种微控制器,可实现WiFi和蓝牙连接,在数以百万计的大众市场物联网设备中都存在,"与BleepingComputer共享的Tarlogic公告中写道。
LM!@LQAMY� L|A1�bx�t� "利用这个后门,敌对行为者可以绕过代码审计控制,进行冒充攻击并永久感染敏感设备,如手机、电脑、智能锁或医疗设备。"
QC�f�R2Nn} ��[-#q�'�S 研究人员警告说,ESP32是世界上应用最广泛的物联网(IoT)设备Wi-Fi+蓝牙连接芯片之一,因此其中存在任何后门的风险都很大。
Oo�Zv\"}!_ 
�:QMpp�}G� 来自RootedCON演示的幻灯片
Vz �y )j�f xQqZi �b5I 在ESP32中发现后门
�#}����U�I �h>/�L4j*Z Tarlogic研究人员在RootedCON演示中解释说,人们对蓝牙安全研究的兴趣已经减弱,但这并不是因为蓝牙协议或其实现变得更安全了。
RR�Gs:h�@; ]pVuR�j'pP 相反,去年提出的大多数攻击都没有可用的工具,无法使用通用硬件,而且使用的是过时/未维护的工具,在很大程度上与现代系统不兼容。
��"�
_�TAo ��W�{�kTM4 Tarlogic开发了一种新的基于C语言的USB蓝牙驱动程序,该驱动程序独立于硬件且跨平台,可直接访问硬件而无需依赖特定于操作系统的API。
#5^S�@�}e >5Sm.7�}�R 有了这个新工具,Tarlogic发现了ESP32蓝牙固件中隐藏的供应商特定命令(Opcode 0x3F),这些命令允许对蓝牙功能进行低级控制。
�{k�a=�{�7 
1(L�q9hs` ESP32内存映射
+��a'nP=e& (ab�tCuZ8z 他们总共发现了29条未记录的命令,统称为"后门",可用于内存操作(读/写RAM和闪存)、MAC地址欺骗(设备冒充)和LMP/LLCP数据包注入。
74�KR�.ABd Gn%���k#�� Espressif并未公开记录这些命令,因此,这些命令要么并不具备可访问性,要么是被错误地保留了下来。
�LT�/�*y= 
q9(hn_X@�/ 发布HCI命令的脚本
Ntp�w(E<$f �wUzMB�]�w 这些命令带来的风险包括OEM层面的恶意实施和供应链攻击。
3u=�>Y^w�u XC,by&nY<y 根据蓝牙堆栈在设备上处理人机交互命令的方式,可能会通过恶意固件或恶意蓝牙连接远程利用后门。
F'�njt�rO3 WAGU|t#."� 如果攻击者已经拥有root访问权限、植入了恶意软件或在设备上推送了恶意更新,从而打开了低级访问权限,那么情况就会更加严重。
W0# VD�e]> &t74T"��(d 不过,一般来说,物理访问设备的USB或UART接口的风险要大得多,也是更现实的攻击场景。
N<��aMUV�m 6W �N(�Tw� 研究人员解释说:"如果你能入侵带有ESP32的物联网设备,你就能在ESP存储器中隐藏APT,并对其他设备实施蓝牙(或Wi-Fi)攻击,同时通过Wi-Fi/Bluetooth控制设备。我们的发现可以完全控制ESP32芯片,并通过允许修改RAM和闪存的命令获得芯片的持久性。此外,由于ESP32允许执行高级蓝牙攻击,因此芯片中的持久性可能会扩散到其他设备上"。
V�}q=!z�z� H��`jv��T] BleepingComputer联系了Espressif公司,要求其就研究人员的发现发表声明,但对方没有立即发表评论。
p+:MZP -%(
微博帐号登录