安全研究人員發現了一個可能影響全球數十億裝置的潛在漏洞。ESP32 微晶片是一種在眾多物聯網裝置中使用的元件,從智慧手機到醫療裝置,其中包含未公開的命令,在特定情況下可能被利用。
發現過程
來自 Tarlogic Security 的西班牙安全研究人員在 ESP32 微晶片的藍牙韌體中識別出了29個隱藏的供應商特定命令。這些專有的主機控制介面(HCI)命令,包括一個被標識為 Opcode 0x3F 的命令,可以對藍牙功能進行低階控制,而這些命令並未被製造商公開記錄。研究人員在馬德里的 RootedCON 會議上展示了他們的發現,強調了這些命令如何可能被用來讀取和修改 ESP32 控制器中的記憶體。
影響範圍
ESP32 微晶片由中國公司 Espressif 製造,是全球最廣泛使用的物聯網裝置 WiFi 和藍牙連線元件之一。其受歡迎程度部分源於其價格實惠,在電子商務平臺上單價低至2美元。據 Espressif 稱,該晶片存在於全球超過十億臺裝置中,包括智慧手機、智慧鎖、揚聲器,甚至醫療裝置,這使得任何安全問題的潛在影響都十分重大。
ESP32 微晶片詳情:
- 製造商: Espressif (中國公司)
- 使用情況:全球超過10億裝置中使用
- 裝置型別:智慧手機、電腦、智慧鎖、醫療裝置、音箱
- 成本:在電商平臺上低至2美元
- 功能:為物聯網裝置提供 WiFi 和藍牙連線
功能和風險
研究人員發現的未公開命令可能允許諸如讀寫 RAM 和快閃記憶體、偽造 MAC 地址以冒充裝置以及注入 LMP/LLCP 資料包等操作。雖然這些功能本身並非惡意,很可能是為除錯目的而包含的,但它們可能被已經獲得裝置訪問許可權的攻擊者濫用。這可能使得冒充攻擊、繞過安全審計或永久修改裝置行為成為可能。
發現隱藏命令:
- 29個供應商特定命令,包括操作碼0x3F
- 功能:讀寫RAM和快閃記憶體,MAC地址欺騙,LMP/LLCP資料包注入
- 受影響型號:僅原始 ESP32 晶片(ESP32-C、ESP32-S和ESP32-H系列不受影響)
- 利用要求:通常需要物理訪問或已被入侵的韌體
利用限制
需要注意的是,如果沒有額外的漏洞,這些命令不能直接遠端訪問。Espressif 已經澄清,這些命令不能透過藍牙、無線訊號或網際網路觸發,這意味著它們本身不會構成遠端攻擊的風險。最可能的攻擊場景可能涉及對裝置的 USB 或 UART 介面的物理訪問,或者已經被破壞的韌體。此外,Espressif 表示,如果 ESP32 用於不連線執行 BLE 主機的主晶片的獨立應用程式中,則這些命令不會被暴露,也不會構成安全威脅。
製造商回應
針對這些發現,Espressif 釋出了一份解釋說明。該公司強調這些不是後門,而是 IP 提供的除錯介面。他們澄清,擁有這樣的私有命令在行業中並不罕見。儘管堅持認為這些命令本身不會構成安全風險,但 Espressif 已承諾提供軟體修復,以刪除這些未公開的命令。該公司還指出,只有原始的 ESP32 晶片受到影響,ESP32-C、ESP32-S 和 ESP32-H 系列都不受影響。
研究工具和影響
為了分析和揭露這些隱藏命令,Tarlogic 開發了一個名為 BluetoothUSB 的新型基於 C 語言的 USB 藍牙驅動程式。該工具提供了硬體獨立和跨平臺的藍牙流量訪問,使得全面的藍牙裝置安全審計不依賴於特定作業系統的 API。這解決了當前安全測試工具的一個重大缺口,這些工具通常需要專門的硬體,並受到對特定作業系統依賴的限制。
未來安全考慮
這一發現強調了硬體元件透明度的重要性,特別是那些在全球數十億裝置中使用的元件。雖然研究人員最初使用後門一詞來描述他們的發現,但他們後來澄清,這些專有 HCI 命令更準確地可以被視為隱藏功能。儘管如此,在廣泛使用的硬體元件中存在未公開的功能,引發了關於供應鏈安全以及在敏感應用中可能被濫用的重要問題。