Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng tiềm ẩn có thể ảnh hưởng đến hàng tỷ thiết bị trên toàn thế giới. Microchip ESP32, một thành phần được tìm thấy trong vô số thiết bị IoT từ điện thoại thông minh đến thiết bị y tế, chứa các lệnh không được ghi nhận trong tài liệu có thể bị khai thác trong một số trường hợp nhất định.
Khám Phá
Các nhà nghiên cứu bảo mật Tây Ban Nha từ Tarlogic Security đã xác định một tập hợp 29 lệnh ẩn dành riêng cho nhà sản xuất trong firmware Bluetooth của microchip ESP32. Các lệnh Host Controller Interface (HCI) độc quyền này, bao gồm một lệnh được xác định là Opcode 0x3F, cho phép kiểm soát cấp thấp các chức năng Bluetooth và không được nhà sản xuất công bố công khai. Các nhà nghiên cứu đã trình bày phát hiện của họ tại RootedCON ở Madrid, nhấn mạnh cách các lệnh này có thể được sử dụng để đọc và sửa đổi bộ nhớ trong bộ điều khiển ESP32.
Phạm Vi Ảnh Hưởng
Microchip ESP32, được sản xuất bởi công ty Trung Quốc Espressif, là một trong những thành phần được sử dụng rộng rãi nhất trên thế giới để kích hoạt kết nối WiFi và Bluetooth trong các thiết bị IoT. Sự phổ biến của nó một phần xuất phát từ giá cả phải chăng, với các đơn vị có giá chỉ khoảng 2 đô la trên các nền tảng thương mại điện tử. Theo Espressif, chip này hiện diện trong hơn một tỷ thiết bị trên toàn thế giới, bao gồm điện thoại thông minh, khóa thông minh, loa, và thậm chí cả thiết bị y tế, khiến tác động tiềm ẩn của bất kỳ vấn đề bảo mật nào trở nên đáng kể.
Thông tin chi tiết về ESP32 Microchip:
- Nhà sản xuất: Espressif (công ty Trung Quốc)
- Mức độ sử dụng: Được tìm thấy trong hơn 1 tỷ thiết bị trên toàn thế giới
- Các loại thiết bị: Điện thoại thông minh, máy tính, khóa thông minh, thiết bị y tế, loa
- Chi phí: Chỉ từ 2$ trên các nền tảng thương mại điện tử
- Chức năng: Cung cấp kết nối WiFi và Bluetooth cho các thiết bị IoT
Khả Năng và Rủi Ro
Các lệnh không được ghi nhận trong tài liệu do các nhà nghiên cứu phát hiện có thể cho phép các hoạt động như đọc và ghi vào bộ nhớ RAM và Flash, giả mạo địa chỉ MAC để mạo danh thiết bị, và tiêm gói LMP/LLCP. Mặc dù những chức năng này không vốn có tính chất độc hại và có thể được đưa vào cho mục đích gỡ lỗi, chúng có thể bị lạm dụng bởi những kẻ tấn công đã có quyền truy cập vào thiết bị. Điều này có thể cho phép các cuộc tấn công mạo danh, bỏ qua kiểm tra bảo mật, hoặc sửa đổi vĩnh viễn hành vi của thiết bị.
Phát Hiện Lệnh Ẩn:
- 29 lệnh đặc thù của nhà cung cấp bao gồm Opcode 0x3F
- Khả năng: Đọc/ghi vào bộ nhớ RAM và Flash, giả mạo địa chỉ MAC, tiêm gói tin LMP/LLCP
- Các model bị ảnh hưởng: Chỉ chip ESP32 gốc (dòng ESP32-C, ESP32-S, và ESP32-H không bị ảnh hưởng)
- Yêu cầu khai thác: Thường đòi hỏi truy cập vật lý hoặc firmware đã bị xâm phạm trước đó
Hạn Chế Khai Thác
Điều quan trọng cần lưu ý là các lệnh này không thể truy cập trực tiếp từ xa mà không có thêm lỗ hổng. Espressif đã làm rõ rằng các lệnh không thể được kích hoạt bằng Bluetooth, tín hiệu radio, hoặc qua Internet, có nghĩa là chúng không gây ra rủi ro xâm nhập từ xa. Kịch bản tấn công thực tế nhất có thể liên quan đến việc truy cập vật lý vào giao diện USB hoặc UART của thiết bị, hoặc firmware đã bị xâm phạm. Ngoài ra, Espressif cho biết nếu ESP32 được sử dụng trong ứng dụng độc lập không kết nối với chip chủ chạy BLE host, các lệnh không bị lộ và không gây ra mối đe dọa bảo mật.
Phản Hồi của Nhà Sản Xuất
Để đáp lại các phát hiện, Espressif đã công bố một bài giải thích giải quyết các mối quan ngại. Công ty nhấn mạnh rằng đây không phải là cửa hậu mà là giao diện gỡ lỗi được cung cấp bởi IP. Họ làm rõ rằng việc có các lệnh riêng như vậy không phải là một thực hành không phổ biến trong ngành. Mặc dù vẫn khẳng định rằng các lệnh không gây ra rủi ro bảo mật, Espressif đã cam kết cung cấp bản sửa lỗi phần mềm để loại bỏ các lệnh không được ghi nhận trong tài liệu này. Công ty cũng lưu ý rằng chỉ có chip ESP32 nguyên bản bị ảnh hưởng, không phải bất kỳ dòng ESP32-C, ESP32-S, và ESP32-H nào.
Công Cụ Nghiên Cứu và Ý Nghĩa
Để phân tích và phơi bày các lệnh ẩn này, Tarlogic đã phát triển một trình điều khiển Bluetooth USB mới dựa trên C có tên BluetoothUSB. Công cụ này cung cấp quyền truy cập độc lập với phần cứng và đa nền tảng vào lưu lượng Bluetooth, cho phép kiểm tra bảo mật toàn diện các thiết bị Bluetooth mà không phụ thuộc vào API cụ thể của hệ điều hành. Điều này giải quyết một khoảng trống đáng kể trong các công cụ kiểm tra bảo mật hiện tại, thường đòi hỏi phần cứng chuyên dụng và bị giới hạn bởi sự phụ thuộc vào các hệ điều hành cụ thể.
Cân Nhắc Bảo Mật Trong Tương Lai
Khám phá này nhấn mạnh tầm quan trọng của tính minh bạch trong các thành phần phần cứng, đặc biệt là những thành phần được sử dụng trong hàng tỷ thiết bị trên toàn thế giới. Mặc dù các nhà nghiên cứu ban đầu sử dụng thuật ngữ cửa hậu để mô tả phát hiện của họ, sau đó họ đã làm rõ rằng các lệnh HCI độc quyền này có thể được coi chính xác hơn là tính năng ẩn. Tuy nhiên, sự hiện diện của chức năng không được ghi nhận trong tài liệu trong các thành phần phần cứng được sử dụng rộng rãi đặt ra những câu hỏi quan trọng về bảo mật chuỗi cung ứng và khả năng bị lạm dụng trong các ứng dụng nhạy cảm.