十亿台设备使用的蓝牙芯片中发现未记录的"后门"
站长云网由中国厂商Espressif制造的ESP32微芯片无处不在,截至2023年已被超过10亿台设备使用,其中包含一个未记录的"后门",可被用于攻击。这些未记录的命令允许欺骗受信任的设备、未经授权的数据访问、透视网络上的其他设备,并可能建立持久性的存在。
这是TarlogicSecurity公司的西班牙研究人员MiguelTarascóAcuña和AntonioVázquezBlanco发现的,他们昨天在马德里举行的RootedCON上介绍了他们的发现。
"TarlogicSecurity在ESP32中检测到了一个后门,ESP32是一种微控制器,可实现WiFi和蓝牙连接,在数以百万计的大众市场物联网设备中都存在,"与BleepingComputer共享的Tarlogic公告中写道。
"利用这个后门,敌对行为者可以绕过代码审计控制,进行冒充攻击并永久感染敏感设备,如手机、电脑、智能锁或医疗设备。"
研究人员警告说,ESP32是世界上应用最广泛的物联网(IoT)设备Wi-Fi+蓝牙连接芯片之一,因此其中存在任何后门的风险都很大。
在ESP32中发现后门
Tarlogic研究人员在RootedCON演示中解释说,人们对蓝牙安全研究的兴趣已经减弱,但这并不是因为蓝牙协议或其实现变得更安全了。
相反,去年提出的大多数攻击都没有可用的工具,无法使用通用硬件,而且使用的是过时/未维护的工具,在很大程度上与现代系统不兼容。
Tarlogic开发了一种新的基于C语言的USB蓝牙驱动程序,该驱动程序独立于硬件且跨平台,可直接访问硬件而无需依赖特定于操作系统的API。
有了这个新工具,Tarlogic 发现了ESP32蓝牙固件中隐藏的供应商特定命令(Opcode0x3F),这些命令允许对蓝牙功能进行低级控制。
他们总共发现了29条未记录的命令,统称为"后门",可用于内存操作(读/写RAM和闪存)、MAC地址欺骗(设备冒充)和LMP/LLCP数据包注入。
Espressif并未公开记录这些命令,因此,这些命令要么并不具备可访问性,要么是被错误地保留了下来。
这些命令带来的风险包括OEM层面的恶意实施和供应链攻击。
根据蓝牙堆栈在设备上处理人机交互命令的方式,可能会通过恶意固件或恶意蓝牙连接远程利用后门。
如果攻击者已经拥有root访问权限、植入了恶意软件或在设备上推送了恶意更新,从而打开了低级访问权限,那么情况就会更加严重。
不过,一般来说,物理访问设备的USB或UART接口的风险要大得多,也是更现实的攻击场景。
研究人员解释说:"如果你能入侵带有ESP32的物联网设备,你就能在ESP存储器中隐藏APT,并对其他设备实施蓝牙(或Wi-Fi)攻击,同时通过Wi-Fi/Bluetooth控制设备。我们的发现可以完全控制ESP32芯片,并通过允许修改RAM和闪存的命令获得芯片的持久性。此外,由于ESP32允许执行高级蓝牙攻击,因此芯片中的持久性可能会扩散到其他设备上"。
BleepingComputer联系了Espressif公司,要求其就研究人员的发现发表声明,但对方没有立即发表评论。
踩一下[0]
顶一下[0]