十亿设备面临威胁？国产微芯片ESP32惊现疑是后门？

2025年3月8日BleepingComputer报道，西班牙安全公司Tarlogic的研究人员在3月6日的RootedCON大会上披露，某芯片制造商生产的ESP32微芯片存在未记录的“后门”。ESP32是全球广泛使用的Wi-Fi和蓝牙连接芯片，截至2023年已应用于超过10亿台设备中。研究人员发现，该芯片的蓝牙固件中包含29条未公开的供应商特定命令（Opcode 0x3F），这些命令允许攻击者进行内存操作（读写RAM和Flash）、MAC地址欺骗（设备伪装）以及LMP/LLCP数据包注入。这些功能可能被用于设备欺骗、未经授权的数据访问、网络内设备渗透以及长期持久性控制。研究人员指出，这些未记录的命令可能是无意中留下的，也可能是为特定用途设计的。攻击者可通过物理访问设备的USB或UART接口，或通过恶意固件更新和蓝牙连接远程利用这些漏洞。由于ESP32广泛应用于智能手机、电脑、智能锁和医疗设备等敏感设备中，此类漏洞可能导致供应链攻击、设备持久性感染以及高级持续性威胁（APT）的植入。目前该公司尚未对此发表公开声明。研究人员建议用户关注设备固件更新，并加强物联网设备的安全防护，以降低潜在风险。

概述

据Bleepingcomputer最新报道，西班牙Tarlogic Security公司的的研究人员Miguel Tarascó Acuña和Antonio Vázquez Blanco于3月6日在马德里的RootedCON上展示了他们的研究结果，声称在中国一芯片制造企业生产的ESP32中检测到一个疑是后门。据悉，截至2023年，由该生产商的无处不在的ESP32微芯片已被超过10亿台设备使用，这种未记录的“后门”，可用于黑客发起攻击。未记录的命令允许欺骗受信任的设备、未经授权的数据访问、转向网络上的其他设备，并可能建立长期持久性。

Tarlogic与BleepingComputer分享的一份公告中写道：“Tarlogic Security在ESP32中检测到一个后门，ESP32是一种支持WiFi和蓝牙连接的微控制器，存在于数百万大众市场的物联网设备中。”

“利用此后门将允许敌对行为者进行冒充攻击，并通过绕过代码审计控制永久感染敏感设备，如手机、电脑、智能锁或医疗设备。”

研究人员警告称，ESP32是全球最广泛用于物联网(IoT)设备Wi-Fi+蓝牙连接的芯片之一，因此其中存在任何后门的风险都很大。

发现ESP32中未公开指令

Tarlogic的研究人员在RootedCON演讲中解释道，人们对蓝牙安全研究的兴趣已经减弱，但这并不是因为该协议或其实现变得更加安全。

相反，去年出现的大多数攻击都没有可用的工具，无法与通用硬件配合使用，并且使用了与现代系统不兼容的过时/未维护的工具。

Tarlogic开发了一种新的基于C的USB蓝牙驱动程序，该驱动程序独立于硬件且跨平台，允许直接访问硬件，而无需依赖特定于操作系统的API。

利用这个可以原始访问蓝牙流量的新工具，Targolic在ESP32蓝牙固件中发现了隐藏的供应商特定命令（操作码0x3F），这些命令允许对蓝牙功能进行低级控制。

ESP32内存映射，来源：Tarlogic

总共，他们发现了29条未记录的命令，统称为“后门”，可用于内存操作（读/写RAM和Flash）、MAC地址欺骗（设备模仿）和LMP/LLCP数据包注入。

研究者称制造企业尚未公开记录这些命令，因此要么这些命令本来就无法访问，要么是被错误地保留了下来。

发出HCI命令的脚本，来源：Tarlogic

可能的风险和后果

这些命令带来的风险包括OEM级别的恶意实施和供应链攻击。

根据蓝牙堆栈如何处理设备上的HCI命令，可能通过恶意固件或恶意蓝牙连接远程利用后门。

如果攻击者已经拥有root访问权限、植入了恶意软件或在设备上推送了开放低级访问权限的恶意更新，则尤其如此。

但总体而言，物理访问设备的USB或UART接口的风险更大，而且是一种更现实的攻击场景。

研究人员向BleepingComputer解释道：“在可以使用ESP32等入侵物联网设备的环境中，您将能够在ESP内存中隐藏APT，并对其他设备执行蓝牙（或Wi-Fi）攻击，同时通过Wi-Fi/蓝牙控制该设备。”

“我们的发现将允许完全控制ESP32芯片，并通过允许RAM和Flash修改的命令获得芯片的持久性。”

“此外，由于芯片具有持久性，因此可能传播到其他设备，因为ESP32允许执行高级蓝牙攻击。”

BleepingComputer称已联系该制造商就研究人员的发现发表声明，但尚未得到任何评论。

【闲话简评】

西班牙安全公司Tarlogic披露的ESP32芯片未记录指令问题，本质上是技术层面的安全漏洞研究。Tarlogic通过自主研发的BluetoothUSB工具发现了29条未公开的HCI指令，确实指出了ESP32蓝牙协议栈的潜在风险，例如内存读写和MAC地址篡改能力。这类问题在半导体行业并非孤例，更多指向供应链透明度与代码审计机制的优化需求，而非蓄意植入的什么“后门”。这些指令是否真实，是否研究人员所述述的风险，尚需要制造商核实澄清。

从风险和影响层面看，研究者称攻击者需物理接触设备或通过恶意固件更新才能利用这些指令，实际攻击利用的门槛较高。但鉴于ESP32在物联网领域的广泛应用，厂商需尽快澄清指令设计意图，并推动固件安全补丁的全球协同更新。作为全球领先的无线通信芯片制造商，该企业的技术开源生态（如ESP-IDF）和RISC-V架构创新已获业界认可。此次事件应视为提升芯片安全设计标准的契机，以透明化举措积极、及时回应相关疑问，展现负责任的国际化企业的技术担当。

关于Tarlogic Security公司

参考资源

1、https://www.bleepingcomputer.com/news/security/undocumented-backdoor-found-in-bluetooth-chip-used-by-a-billion-devices/

2、https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-devices/

3、https://reg.rootedcon.com/cfp/schedule/talk/5

原文始发于微信公众号（网空闲话plus）：十亿设备面临威胁？国产微芯片ESP32惊现疑是“后门”？