Обнаружена "заплатная дверь" в китайском чипе Bluetooth, используемом в миллиарде устройств

Микросхема ESP32, произведённая китайским производителем Espressif и используемая более чем в миллиарде устройств на 2023 год, содержит неocumented «заднюю дверь», которую можно использовать для атак, пишет BleepingComputer.

Неocumented команды позволяют подделывать доверенные устройства, получать несанкционированный доступ к данным, переходить к другим устройствам в сети и потенциально устанавливать долгосрочное присутствие.

Это открытие было сделано испанскими исследователями Мигелем Тараско Акуной (Miguel Tarascó Acuña) и Антонио Вазкесом Бланко (Antonio Vázquez Blanco) из компании Tarlogic Security, которые представили свои результаты накануне на RootedCON в Мадриде. "Tarlogic Security обнаружила заднюю дверь в ESP32 — микроконтроллере, обеспечивающем подключение Wi-Fi и Bluetooth, который используется в миллионах массовых устройств IoT," говорится в заявлении Tarlogic, отправленном BleepingComputer. "Использование этой задней двери позволит злоумышленникам проводить атаки имитационного характера и навсегда заразить чувствительные устройства, такие как мобильные телефоны, компьютеры, умные замки или медицинское оборудование, обходя проверку кода..."

Tarlogic разработала новый USB-драйвер Bluetooth на языке C, который не зависит от аппаратного обеспечения и является кросс-платформенным, что позволяет получить прямой доступ к оборудованию без использования специфических для операционной системы API. С помощью этого нового инструмента, обеспечивающего непосредственный доступ к трафику Bluetooth, исследователи обнаружили скрытые команды конкретного поставщика (Opcode 0x3F) в прошивке Bluetooth ESP32, позволяющие осуществлять низкоуровневый контроль над функциями Bluetooth. Всего они нашли 29 неocumented команд, которые можно расценивать как "заднюю дверь" и использовать для манипуляции памятью (чтение/запись RAM и Flash), подделки MAC-адреса (подделка устройства) и инъекции пакетов LMP/LLCP.

Espressif не документировала эти команды публично, поэтому либо их не должны были быть доступны, либо они оказались там случайно.