在乐鑫ESP32微芯片中发现未记录的隐藏功能

在RootedCON大会上，Tarlogic Innovation的研究人员展示了他们对中国制造商乐鑫（Espressif）设计的ESP32微芯片中未记录命令的研究成果。

这一隐藏功能可能充当后门，使攻击者能够在智能手机、智能锁和医疗设备等设备上实施冒充攻击和持久感染。Tarlogic还开发了一种工具，用于跨所有操作系统审计蓝牙设备的安全性。

专家警告称，这一隐藏功能对数百万物联网设备构成了安全风险。

研究人员发布的报告中写道：“Tarlogic Security发现了一个隐藏功能，该功能可用作ESP32中的后门。ESP32是一种支持WiFi和蓝牙连接的微控制器，存在于数百万大众市场的物联网设备中。利用这一隐藏功能，攻击者可以绕过代码审计控制，对手机、电脑、智能锁或医疗设备等敏感设备实施冒充攻击并永久感染。”

Tarlogic的研究人员使用了去年引入的BSAM方法，系统性地审计了蓝牙设备的安全性。

在调查过程中，研究人员在ESP32芯片中发现了一个隐藏功能。该芯片用于数百万物联网设备，并可以在全球最著名的电子商务网站上以2欧元的价格购买。正是这种低成本解释了为什么它在绝大多数家用蓝牙物联网设备中存在。2023年，制造商乐鑫在一份声明中报告称，迄今为止，该芯片已在全球售出10亿个。

Tarlogic的创新部门开发了BluetoothUSB，这是一个免费的驱动程序，允许研究人员在所有设备上进行全面的蓝牙安全审计，无论操作系统或编程语言如何。该工具消除了对多样化硬件的需求，使安全测试更加便捷。研究人员指出，BluetoothUSB旨在使数百万物联网设备的安全分析民主化，帮助制造商开发工具来测试和保护支持蓝牙的设备。

研究人员使用他们创建的工具发现了多个隐藏命令。通过逆向工程，Tarlogic的研究人员在ESP32蓝牙固件中发现了隐藏命令（代码0x3F）。检查代码时，Tarlogic注意到表中的最后一个条目引用了代码0x3F，该代码保留用于专有命令。该代码包含29个由乐鑫未记录的HCI命令。

研究人员展示了攻击者如何完全控制ESP32芯片，通过修改RAM和Flash实现持久性，并可能利用高级蓝牙攻击传播到其他设备。

报告总结道：“我们希望澄清，将这些专有的HCI命令（允许对ESP32控制器中的内存进行读取和修改等操作）称为‘隐藏功能’而非‘后门’更为合适。这些命令的使用可能助长供应链攻击、在芯片组中隐藏后门或执行更复杂的攻击。在接下来的几周内，我们将发布有关此问题的更多技术细节。”

原文始发于微信公众号（黑猫安全）：在乐鑫ESP32微芯片中发现未记录的隐藏功能