![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
据国外信息安全新闻记者Bill Toulas报道,Espressif生产的 ESP32微芯片截至2023年已在全球部署超过10亿台设备,而近期他们发现,这些芯片中包含可被利用于攻击的未公开指令。
Bill对此表示,这些未公开指令允许实施以下攻击行为:伪造可信设备身份、未经授权访问数据、横向渗透至网络内其他设备,甚至可能建立持久化控制通道。
![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
这一发现由西班牙Tarlogic Security公司的研究员Miguel Tarascó Acuña和Antonio Vázquez Blanco完成,他们于3月7日在马德里举行的RootedCON安全会议上公布了研究成果。
据报道,Tarlogic向BleepingComputer提供的公告指出:“Tarlogic Security在ESP32微控制器中检测到一处漏洞。该芯片支持WiFi和蓝牙连接,广泛应用于数百万台消费级物联网设备。利用这一漏洞,攻击者可绕过代码审计控制,实施伪装攻击并永久性感染手机、电脑、智能门锁或医疗设备等敏感终端。”
研究人员特别警示,ESP32作为全球物联网设备中最常用的 WiFi +蓝牙双模芯片之一,其潜在风险不容小觑。
![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
在RootedCON演讲中,Tarlogic团队指出,当前蓝牙安全研究热度下降并非因为协议或其能变得更安全,而是由于去年披露的多数攻击缺乏可用工具、依赖特定硬件,且使用的工具多已过时,无法适配现代系统。
为此,Tarlogic开发了基于C语言的跨平台USB蓝牙驱动程序,该工具无需依赖操作系统API即可直接访问硬件。借助这一可直接解析蓝牙流量的新型工具,研究团队在ESP32蓝牙固件中发现了隐藏的厂商专属指令(操作码 0x3F),这些指令可实现对蓝牙功能的底层控制。
![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
报道说,研究人员共发现29条未公开指令,这些指令被统称为 “后门”,可用于内存操作(读写 RAM 和 Flash)、MAC 地址欺骗(设备伪装)以及LMP/LLCP数据包注入。
Espressif未在官方文档中披露这些指令,因此存在两种可能性:这些指令本不应被访问,或因疏忽遗留。该漏洞现已被分配CVE编号CVE-2025-27840。
![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
1、原始设备制造商(OEM)层面的恶意植入
2、供应链攻击场景
具体取决于设备蓝牙协议栈处理HCI指令的方式,攻击者可能通过恶意固件或伪造蓝牙连接实现指令的远程利用。若攻击者已获取设备Root权限、植入恶意软件或推送开启底层访问的恶意更新,风险将显著增加。
但总体而言,物理接触设备USB或UART接口仍是更具威胁且更易实现的攻击场景。
研究人员向Bleeping Computer解释称:“当攻击者控制搭载 ESP32的物联网设备后,可在芯片内存中隐藏高级持续性威胁(APT),通过蓝牙(或 Wi-Fi)对其他设备发起攻击,同时利用 Wi-Fi/Bluetooth 维持对目标设备的控制。我们的发现使攻击者能够完全掌控ESP32芯片,并通过修改RAM和 Flash的指令实现持久化控制。此外,借助芯片内的持久化控制,攻击者可能通过ESP32执行高级蓝牙攻击,进而扩散至其他设备。”
对此,报道称Bleeping Computer 已联系Espressif就研究结果置评,但截至发稿未获回应。
此报道一经在外媒发布,立时引来了专业人士和网友的激烈讨论。值得注意的是,无论是技术专家还是普通网友,均对报道内容提出了广泛质疑。
ID为Super Sun的网友对此表示:“这是非常失真的信息。首先,未公开指令并非 ‘后门’。软件/固件和硬件产品存在未公开指令是非常普遍的现象——这是制造商设计和调试产品的技术需要。其次,ESP32 芯片的蓝牙通信属于短距离通信(有效距离不足 10 米)。若要攻击搭载该芯片的家电设备,攻击者必须实际进入物理场所操作,无法实现远程攻击。
因此,所谓的‘蓝牙驱动漏洞’不会对用户的设备造成安全威胁。”
此评论一出,立时引来了网友kanungor文不对题的回复:这将导致横向攻击风险。当攻击者入侵某台计算机后,可通过蓝牙连接的系统横向渗透至其他设备。这正是传统防火墙看似有效却存在局限性的根本原因 —— 零信任架构才是唯一可行的解决方案。
而ID名为Andre KR的网友则再一次强调,这是Tarlogic公司一次拙劣的宣传手段,在制造恐慌的同时试图自我炒作。“从演示文稿内容来看,所谓的 ‘后门’根本不存在——研究人员仅发现了几个未公开的寄存器值,而这是完全正常的技术现象。无论是在蓝牙通信范围内还是其他场景下,均不存在可被利用的安全漏洞。”
网友Jeff Umpton甚至表示,将未公开指令称为“后门”纯属无稽之谈。HCI(主机控制器接口)本质上是蓝牙芯片的核心控制通道,用户的应用程序正是通过这个底层API来操作蓝牙功能。如果用户的应用未对该通道实施访问控制,那么这些指令反而是最不需要担心的安全问题。“而真正恶心的是,如今许多所谓的安全研究只是为了营销、宣传和点击量而故意制造噱头。”
![某芯片被爆后门,波及全球超10亿设备]( "某芯片被爆后门,波及全球超10亿设备")
当然,也有网友对报道表示认同,比如ID名为h_b_s的网友就表示:“这似乎又是一起因各种原因导致硬件调试指令在最终产品中暴露的案例。一旦攻击者开发出特定驱动程序,即可通过其他手段获取远程访问权限,触发权限提升机制,并植入自制的ESP32驱动程序以实施任意攻击行为。除非Espressif发布硬件修订版、OEM 厂商发起召回且用户意识到家中/工厂中的物联网设备可能藏有 ‘定时炸弹’(随时可能被纳入僵尸网络或成为网络横向渗透跳板),否则该漏洞无法通过简单方式修复。现实情况是,绝大多数个人和组织甚至不清楚其物联网设备中搭载的芯片型号。”
而网友Badger也对他进行了回复:“无论是公开信息还是演示文稿中,我都没有发现所谓的‘后门’。‘MAC 地址欺骗’和‘数据包注入’在蓝牙和WiFi领域已存在数十年,并非该硬件独有。按照你的逻辑,我是否可以宣称发现了一款允许用户编辑SSID的无线路由器,从而使全球所有无线设备和网络都面临这个‘后门’的威胁?”对此,网友h_b_s暂无回应。
最后,网友Wzis的回答引人深思:有哪个系统不存在后门?Linux、AIX、Solaris等操作系统均存在后门,任何系统管理员均可运行多种工具获取密码,除非相关指令受到我们软件的保护。“这篇报道听起来那些人好像刚发现root用户可以读取内存似的。而我个人更担心波音在其 737 系列飞机中留下的后门。”
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3825066.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论