由中国厂商 Espressif 制造的 ESP32 微芯片无处不在，截至 2023 年已被超过 10 亿台设备使用，其中包含一个未记录的"后门"，可被用于攻击。这些未记录的命令允许欺骗受信任的设备、未经授权的数据访问、透视网络上的其他设备，并可能建立持久性的存在。

这是 Tarlogic Security 公司的西班牙研究人员 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 发现的，他们 昨天在马德里举行的RootedCON 上介绍了他们的发现。

"Tarlogic Security 在 ESP32 中检测到了一个后门，ESP32 是一种微控制器，可实现 WiFi 和蓝牙连接，在数以百万计的大众市场物联网设备中都存在，"与 BleepingComputer 共享的 Tarlogic 公告中写道。

"利用这个后门，敌对行为者可以绕过代码审计控制，进行冒充攻击并永久感染敏感设备，如手机、电脑、智能锁或医疗设备。"

研究人员警告说，ESP32是世界上应用最广泛的物联网（IoT）设备Wi-Fi+蓝牙连接芯片之一，因此其中存在任何后门的风险都很大。

来自 RootedCON 演示的幻灯片

在 ESP32 中发现后门

Tarlogic 研究人员在 RootedCON 演示中解释说，人们对蓝牙安全研究的兴趣已经减弱，但这并不是因为蓝牙协议或其实现变得更安全了。

相反，去年提出的大多数攻击都没有可用的工具，无法使用通用硬件，而且使用的是过时/未维护的工具，在很大程度上与现代系统不兼容。

Tarlogic 开发了一种新的基于 C 语言的 USB 蓝牙驱动程序，该驱动程序独立于硬件且跨平台，可直接访问硬件而无需依赖特定于操作系统的 API。

有了这个新工具，Tarlogic 发现了 ESP32 蓝牙固件中隐藏的供应商特定命令（Opcode 0x3F），这些命令允许对蓝牙功能进行低级控制。

ESP32 内存映射

他们总共发现了 29 条未记录的命令，统称为"后门"，可用于内存操作（读/写 RAM 和闪存）、MAC 地址欺骗（设备冒充）和 LMP/LLCP 数据包注入。

Espressif 并未公开记录这些命令，因此，这些命令要么并不具备可访问性，要么是被错误地保留了下来。

发布 HCI 命令的脚本

这些命令带来的风险包括 OEM 层面的恶意实施和供应链攻击。

根据蓝牙堆栈在设备上处理人机交互命令的方式，可能会通过恶意固件或恶意蓝牙连接远程利用后门。

如果攻击者已经拥有 root 访问权限、植入了恶意软件或在设备上推送了恶意更新，从而打开了低级访问权限，那么情况就会更加严重。

不过，一般来说，物理访问设备的 USB 或 UART 接口的风险要大得多，也是更现实的攻击场景。

研究人员解释说："如果你能入侵带有 ESP32 的物联网设备，你就能在 ESP 存储器中隐藏 APT，并对其他设备实施蓝牙（或 Wi-Fi ）攻击，同时通过 Wi-Fi/Bluetooth 控制设备。我们的发现可以完全控制 ESP32 芯片，并通过允许修改 RAM 和闪存的命令获得芯片的持久性。此外，由于ESP32允许执行高级蓝牙攻击，因此芯片中的持久性可能会扩散到其他设备上"。

BleepingComputer 联系了 Espressif 公司，要求其就研究人员的发现发表声明，但对方没有立即发表评论。