由中国厂商 Espressif 制造的 ESP32 微芯片无处不在,截至 2023 年已被超过 10 亿台设备使用,其中包含一个未记录的"后门",可被用于攻击。这些未记录的命令允许欺骗受信任的设备、未经授权的数据访问、透视网络上的其他设备,并可能建立持久性的存在。
这是 Tarlogic Security 公司的西班牙研究人员 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 发现的,他们 昨天在马德里举行的RootedCON 上介绍了他们的发现。
"Tarlogic Security 在 ESP32 中检测到了一个后门,ESP32 是一种微控制器,可实现 WiFi 和蓝牙连接,在数以百万计的大众市场物联网设备中都存在,"与 BleepingComputer 共享的 Tarlogic 公告中写道。
"利用这个后门,敌对行为者可以绕过代码审计控制,进行冒充攻击并永久感染敏感设备,如手机、电脑、智能锁或医疗设备。"
研究人员警告说,ESP32是世界上应用最广泛的物联网(IoT)设备Wi-Fi+蓝牙连接芯片之一,因此其中存在任何后门的风险都很大。
来自 RootedCON 演示的幻灯片
在 ESP32 中发现后门
Tarlogic 研究人员在 RootedCON 演示中解释说,人们对蓝牙安全研究的兴趣已经减弱,但这并不是因为蓝牙协议或其实现变得更安全了。
相反,去年提出的大多数攻击都没有可用的工具,无法使用通用硬件,而且使用的是过时/未维护的工具,在很大程度上与现代系统不兼容。
Tarlogic 开发了一种新的基于 C 语言的 USB 蓝牙驱动程序,该驱动程序独立于硬件且跨平台,可直接访问硬件而无需依赖特定于操作系统的 API。
有了这个新工具,Tarlogic 发现了 ESP32 蓝牙固件中隐藏的供应商特定命令(Opcode 0x3F),这些命令允许对蓝牙功能进行低级控制。
ESP32 内存映射
他们总共发现了 29 条未记录的命令,统称为"后门",可用于内存操作(读/写 RAM 和闪存)、MAC 地址欺骗(设备冒充)和 LMP/LLCP 数据包注入。
Espressif 并未公开记录这些命令,因此,这些命令要么并不具备可访问性,要么是被错误地保留了下来。
发布 HCI 命令的脚本
这些命令带来的风险包括 OEM 层面的恶意实施和供应链攻击。
根据蓝牙堆栈在设备上处理人机交互命令的方式,可能会通过恶意固件或恶意蓝牙连接远程利用后门。
如果攻击者已经拥有 root 访问权限、植入了恶意软件或在设备上推送了恶意更新,从而打开了低级访问权限,那么情况就会更加严重。
不过,一般来说,物理访问设备的 USB 或 UART 接口的风险要大得多,也是更现实的攻击场景。
研究人员解释说:"如果你能入侵带有 ESP32 的物联网设备,你就能在 ESP 存储器中隐藏 APT,并对其他设备实施蓝牙(或 Wi-Fi )攻击,同时通过 Wi-Fi/Bluetooth 控制设备。我们的发现可以完全控制 ESP32 芯片,并通过允许修改 RAM 和闪存的命令获得芯片的持久性。此外,由于ESP32允许执行高级蓝牙攻击,因此芯片中的持久性可能会扩散到其他设备上"。
BleepingComputer 联系了 Espressif 公司,要求其就研究人员的发现发表声明,但对方没有立即发表评论。
