[English]Sehr unschöne Geschichte, die Sicherheitsforscher von Tarlogic Security gerade offen gelegt haben. Es gibt einen Satz unbekannter Befehle, die quasi als Backdoor missbraucht werden könnten) in einem populären Chip, der in Millionen Geräten zur Unterstützung von BlueTooth- und WiFi-Verbindungen verbaut wurde.
Anzeige
Worum geht es?
In Millionen von Smartphones, Computern, intelligenten Schlösser, medizinischen Geräten und IoT-Geräten ist ein ESP32-Mikrocontroller verbaut, der zur Abwicklung von WiFi- und Bluetooth-Verbindungen verwendet wird. Es ist
Sicherheitsforscher von Tarlogic Security sind bei einer Analyse drauf gestoßen, dass dieser Mikrocontroller einen undokumentierten Befehlsset unterstützt, der bisherigen Audits entgangen ist. Dieser Befehlssatz ließe sich quasi als Backdoor missbrauchen.
Der Tarlogic Security-Bericht
Tarlogic Security hat ein Tool (BluetoothUSB) entwickelt, um Sicherheitsaudits von Bluetooth-Geräten unter diversen Betriebssystemen durchzuführen. Tarlogic BluetoothUSB ist ein Treiber, mit dem Sicherheitstests und Angriffe implementiert werden können, um vollständige Sicherheitsprüfungen auf allen Arten von Geräten unabhängig vom Betriebssystem oder der Programmiersprache und ohne die Notwendigkeit einer Vielzahl von Hardware zur Durchführung aller Tests in einer Prüfung zu erreichen.
Bei Tests sind die Sicherheitsforscher auf undokumentierte Befehle im ESP32-Mikrochip gestoßen, der in Millionen (IoT-)Geräten verbaut ist. Tarlogic entdeckte versteckte herstellerspezifische Befehle (Opcode 0x3F) in der ESP32-Bluetooth-Firmware, die eine Low-Level-Kontrolle über Bluetooth-Funktionen ermöglichen.
Anzeige
Der ca. 2 US-Dollar kostende Mikrocontroller ermöglicht WiFi- und Bluetooth-Verbindungen und ist praktisch in fast allen oben genannten Geräten verbaut. Die Sicherheitsforscher bezeichnen die versteckte Funktion in Form undokumentierter Befehle als "Hintertür im ESP32". Diese Backdoor ermöglicht es Angreifen durch Ausnutzung dieser Befehle sogenannte "Imitationsangriffe" durchzuführen und empfindliche Geräte wie Mobiltelefone, Computer, intelligente Schlösser oder medizinische Geräte dauerhaft zu infizieren, indem sie die Code-Audit-Kontrollen umgehen.
Auf diese Weise könnten sich böswillige Akteure als bekannte Geräte ausgeben, um sich mit Mobiltelefonen, Computern und intelligenten Geräten zu verbinden, selbst wenn diese sich im Offline-Modus befinden, heißt es. Auf diese Weise können Angreifer an vertrauliche Informationen gelangen, die auf den Geräten gespeichert sind. So ließe sich Zugang zu persönlichen und geschäftlichen Gesprächen erhalten, um Bürger und Unternehmen auszuspionieren.
Die spanischen Sicherheitsforscher Miguel Tarascó Acuña und Antonio Vázquez Blanc haben ihre Erkenntnisse auf RootedCON in Madrid publik gemacht (Folien hier) und dazu auch einen Artikel Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices zum 6. März 2025 veröffentlicht.
Bleeping Computer hat wohl zusätzliche Informationen zu den undokumentierten Befehlen erhalten und in diesem Beitrag beschrieben. Insgesamt wurden 29 undokumentierte Befehle gefunden, die Speichermanipulationen (Lesen/Schreiben von RAM und Flash), MAC-Adress-Spoofing (Geräte-Identifizierung) und LMP/LLCP-Paketinjektion ermöglichen.
Inzwischen gibt es CVE-2025-27840 zu diesem 29 nicht durch Espressif in seinem ESP32 Chip dokumentierten Befehlen. Der Base Score ist mit 6.8 (Medium) eingestuft. Mir ist aber unklar, wie man sich als Benutzer vor der Ausnutzung schützen kann und ob es ein Firmware-Update des Herstellers gibt, der diese Schwachstelle in Geräten entfernt.
Anzeige
Tarlogic hat das leider ein bisschen arg reiserisch publiziert. Um die "Backdoor" auszunutzen muss man schon Code auf dem ESP ausführen können, das heißt es gibt keine Gefahr dass jemand am Haus vorbeifährt und das Smarthome übernimmt.
Na hervorragend. Das Managementmodul meines Wechselrichter (SunGrow) hat eine interne Interface Bezeichnung "espressif" … ich bin begeistert.
Soweit ich mich da bisher eingelesen habe, ist für die Ausnutzung physischer Zugriff auf Schnittstellen ESP erforderlich. OTA soll da wohl bisher keine Möglichkeit zur Ausnutzung bestehen.
Naja OTA gehts z.b. per Firmwareupdate deiner Aliexpress-Wifi-Lampe … ;)
Ja, und auf viele weitere Wege.
Den meisten fehlt in solchen Dingen einfach die Phantasie und die "andere" Denkweise von Angreifern…
Wenn ich ein FW Update einspielen kann, habe ich bereits alles um das Gerät zu kompromitieren. Das wäre dann jedoch kein Ausnutzen der nun bekannt gewordenen Sicherheitslücken.
Gemeint ist wohl eher, die Aliexpress-Wifi-Lampe bekommt ein "passendes"Firmwareupdate und von da aus nutzt man dann die undokumentierten ESP32 Befehle …
Ich denke, ähnliche Mechanismen wird jeder Hersteller von Elektronikkomponenten in seiner Software haben. Wenn ich es richtig verstehe, sind es ja z.B. Befehle, um auf den NVRAM zu schreiben und so z.B. Seriennummer und MAC-Adresse zu setzen – Dinge, die man im Produktionsprozeß braucht.
Sicherlich besteht ein Risiko darin, ein bestehendes Gerät zu klonen und sich dann z.B. einem Smartphone gegenüber als dieses auszugeben, aber das setzt (neben krimineller Energie) auch weitergehende Zugriffsmöglichkeiten voraus und funktioniert nicht aus der Ferne.
Für mich rangiert das in derselben Kategorie wie etwa das beliebte Zurücksetzen von Digitaltachos (oder der SMART-Betriebsstunden bei den Festplatten neulich), der eigentliche Betrug fängt eine Stufe später an.
Undokumentierte Befehle an sich sind nichts neues, der eine oder andere erinnert sich vielleicht noch an die DD- und FD-Befehle im Zilog Z80 vor etwa 50 Jahren.