[English]Sehr unschöne Geschichte, die Sicherheitsforscher von Tarlogic Security gerade offen gelegt haben. Es gibt einen Satz unbekannter Befehle, die quasi als Backdoor missbraucht werden könnten) in einem populären Chip, der in Millionen Geräten zur Unterstützung von BlueTooth- und WiFi-Verbindungen verbaut wurde.
Anzeige
Worum geht es?
In Millionen von Smartphones, Computern, intelligenten Schlösser, medizinischen Geräten und IoT-Geräten ist ein ESP32-Mikrocontroller verbaut, der zur Abwicklung von WiFi- und Bluetooth-Verbindungen verwendet wird. Sicherheitsforscher von Tarlogic Security sind bei einer Analyse drauf gestoßen, dass dieser Mikrocontroller einen undokumentierten Befehlsset unterstützt, der bisherigen Audits entgangen ist. Dieser Befehlssatz ließe sich quasi als Backdoor missbrauchen.
Der Tarlogic Security-Bericht
Tarlogic Security hat ein Tool (BluetoothUSB) entwickelt, um Sicherheitsaudits von Bluetooth-Geräten unter diversen Betriebssystemen durchzuführen. Tarlogic BluetoothUSB ist ein Treiber, mit dem Sicherheitstests und Angriffe implementiert werden können, um vollständige Sicherheitsprüfungen auf allen Arten von Geräten unabhängig vom Betriebssystem oder der Programmiersprache und ohne die Notwendigkeit einer Vielzahl von Hardware zur Durchführung aller Tests in einer Prüfung zu erreichen.
Bei Tests sind die Sicherheitsforscher auf undokumentierte Befehle im ESP32-Mikrochip gestoßen, der in Millionen (IoT-)Geräten verbaut ist. Tarlogic entdeckte versteckte herstellerspezifische Befehle (Opcode 0x3F) in der ESP32-Bluetooth-Firmware, die eine Low-Level-Kontrolle über Bluetooth-Funktionen ermöglichen.
Der ca. 2 US-Dollar kostende Mikrocontroller ermöglicht WiFi- und Bluetooth-Verbindungen und ist praktisch in fast allen oben genannten Geräten verbaut. Die Sicherheitsforscher bezeichnen die versteckte Funktion in Form undokumentierter Befehle als "Hintertür im ESP32". Diese Backdoor ermöglicht es Angreifen durch Ausnutzung dieser Befehle sogenannte "Imitationsangriffe" durchzuführen und empfindliche Geräte wie Mobiltelefone, Computer, intelligente Schlösser oder medizinische Geräte dauerhaft zu infizieren, indem sie die Code-Audit-Kontrollen umgehen.
Anzeige
Auf diese Weise könnten sich böswillige Akteure als bekannte Geräte ausgeben, um sich mit Mobiltelefonen, Computern und intelligenten Geräten zu verbinden, selbst wenn diese sich im Offline-Modus befinden, heißt es. Auf diese Weise können Angreifer an vertrauliche Informationen gelangen, die auf den Geräten gespeichert sind. So ließe sich Zugang zu persönlichen und geschäftlichen Gesprächen erhalten, um Bürger und Unternehmen auszuspionieren.
Die spanischen Sicherheitsforscher Miguel Tarascó Acuña und Antonio Vázquez Blanc haben ihre Erkenntnisse auf RootedCON in Madrid publik gemacht (Folien hier) und dazu auch einen Artikel Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices zum 6. März 2025 veröffentlicht.
Bleeping Computer hat wohl zusätzliche Informationen zu den undokumentierten Befehlen erhalten und in diesem Beitrag beschrieben. Insgesamt wurden 29 undokumentierte Befehle gefunden, die Speichermanipulationen (Lesen/Schreiben von RAM und Flash), MAC-Adress-Spoofing (Geräte-Identifizierung) und LMP/LLCP-Paketinjektion ermöglichen.
Inzwischen gibt es CVE-2025-27840 zu diesem 29 nicht durch Espressif in seinem ESP32 Chip dokumentierten Befehlen. Der Base Score ist mit 6.8 (Medium) eingestuft. Mir ist aber unklar, wie man sich als Benutzer vor der Ausnutzung schützen kann und ob es ein Firmware-Update des Herstellers gibt, der diese Schwachstelle in Geräten entfernt.
Anzeige
Tarlogic hat das leider ein bisschen arg reiserisch publiziert. Um die "Backdoor" auszunutzen muss man schon Code auf dem ESP ausführen können, das heißt es gibt keine Gefahr dass jemand am Haus vorbeifährt und das Smarthome übernimmt.
JAIN: Dieser Jemand braucht halt ein eigenes BT-Gerät und mit dem kann er alles ausbeuten, was das Gerät des Opfers anbietet oder nicht erfolgreich abwehrt.
So wie ich den Text verstehe kann dafür (insb. durch MAC-Spoofing etc.) ein vom Opfer gepairtes Gerät simuliert werden.
mac spoofing geht mit jedem Gerät, sowohl Bluetooth als auch WLAN.
Mac spoofing wird sogar von jedem iPhone benützt um tracking der mac Adresse zu unterbinden.
Bluetooth als auch WLAN verbinden sich über einen Schlüsselaustausch.
Daher ist es garnicht möglich das ein fremdes Bluetooth Gerät sich "Automatisch" mit deinem Handy oder anderen Geräten verbindet.
Kurz gefasst, sobald mann physischen Zugriff auf einen esp32 braucht, sind die news nur müll.
Wenn aber kein physischer Zugriff nötig ist um Befehle auf fremdem esp32 Geräten auszuführen, ist das eine in der tat extrem kritische Sicherheitslücke.
"Mac spoofing wird sogar von jedem iPhone benützt"
Ethernet-/WiFi-MAC-Spoofing ist ein steinalter Hut, ich bezog mich da auf BT, nicht WLAN, es geht also um BT-MAC-Spoofing. Insoweit das gewöhnliche iPhones oder Androide können bitte ich um Quellen.
"Bluetooth als auch WLAN verbinden sich über einen Schlüsselaustausch."
Ich kenne nur WLAN näher und da merkt die gemeine Basisstation sich (ab von einem etwaigen PSK) keinen Schlüssel (der wird erst bei Verbindung neu ausgehandelt), ist das bei BT tatsächlich anders (d.h. wird dort beim Pairing ein (PKA-)Schlüsselpaar ausgehandelt und auf Server und Client hinterlegt)?
Wie ich weiter unten schrieb: So, wie ich den Text verstehe, genügt es, wenn der Angreifer physischen Zugriff auf seinen ESP32 hat (wieder: Ähnlich WLAN, wo nur der Angreifer das Equipment braucht, Sessions aufzuzeichnen und zu entschlüsseln)
Na hervorragend. Das Managementmodul meines Wechselrichter (SunGrow) hat eine interne Interface Bezeichnung "espressif" … ich bin begeistert.
Vermutlich kommt alles in Deinem Wechselrichter aus China.
ich arbeite täglich mit IoT Geräten unteranderem such Sungrow Wechselrichter und Dongles (der ein Espressif chip hat). das was hier erzählt wurde ist die kleinste Sorge, die ich habe! Besonders bei Sungrow und Huawei!
Soweit ich mich da bisher eingelesen habe, ist für die Ausnutzung physischer Zugriff auf Schnittstellen ESP erforderlich. OTA soll da wohl bisher keine Möglichkeit zur Ausnutzung bestehen.
Naja OTA gehts z.b. per Firmwareupdate deiner Aliexpress-Wifi-Lampe … ;)
Ja, und auf viele weitere Wege.
Den meisten fehlt in solchen Dingen einfach die Phantasie und die "andere" Denkweise von Angreifern…
Wenn ich ein FW Update einspielen kann, habe ich bereits alles um das Gerät zu kompromitieren. Das wäre dann jedoch kein Ausnutzen der nun bekannt gewordenen Sicherheitslücken.
Gemeint ist wohl eher, die Aliexpress-Wifi-Lampe bekommt ein "passendes"Firmwareupdate und von da aus nutzt man dann die undokumentierten ESP32 Befehle …
Das kann natürlich sein, ist meines Erachtens aber irrelevant. Wenn der jeweilige Hersteller solche Updates in mein Netz bringen kann, braucht er die Lücke nicht ausnutzen und hätte zig bequemere Möglichkeiten. Wenn man Aliexpress oder ähnlichen nicht vertraut, sollte man diese Produkte auch nicht einsetzen. Lücke hin oder her.
Aliexpress ist ein Versandunternehmen wie amazon.
Ich denke, ähnliche Mechanismen wird jeder Hersteller von Elektronikkomponenten in seiner Software haben. Wenn ich es richtig verstehe, sind es ja z.B. Befehle, um auf den NVRAM zu schreiben und so z.B. Seriennummer und MAC-Adresse zu setzen – Dinge, die man im Produktionsprozeß braucht.
Sicherlich besteht ein Risiko darin, ein bestehendes Gerät zu klonen und sich dann z.B. einem Smartphone gegenüber als dieses auszugeben, aber das setzt (neben krimineller Energie) auch weitergehende Zugriffsmöglichkeiten voraus und funktioniert nicht aus der Ferne.
Für mich rangiert das in derselben Kategorie wie etwa das beliebte Zurücksetzen von Digitaltachos (oder der SMART-Betriebsstunden bei den Festplatten neulich), der eigentliche Betrug fängt eine Stufe später an.
Undokumentierte Befehle an sich sind nichts neues, der eine oder andere erinnert sich vielleicht noch an die DD- und FD-Befehle im Zilog Z80 vor etwa 50 Jahren.
Mit passender (Richt-)Antenne sollte es ähnlich des seinerzeitigen "Wardriving" funktionieren.
Für medizinische Produkte, bzw. allgemein sicherheitsrelevante Produkte sicher ein großes Problem, wenn jemand von außen eine Beatmungsmaschine abschalten kann oder ggf. auf Mobiltelefone zugreifen kann und damit Geld stehlen kann.
Die meisten Privatanwender steuern irgendwelche Haushaltsgeräte, nun wenn die plötzlich nicht mehr funktionieren oder kopiert werden… der Schaden dürfte überschaubar sein. Insbesondere wenn man diese Geräte z.b. in ein Smarthome einsetzt, welches zu Hause ohne Cloud läuft! Wenn die Geräte nur in meinem Heimnetz sind, wer will da was dran drehen?
Es reicht ein Gerät, das kompromitiert ist und sich von aussen steuern lässt, dann ist das Heimnetz praktisch offen…
Da finde ich es gut, dass meine Fritz!Box Gastnetz kann.
Alle Smartphones, Tablets, sonstiges altes Zeug, das nicht auf dem aktuellen Softwarestand ist oder vom Hersteller nicht mehr gepflegt wird, sowie Gastgeräte, bekommen nur kastriertes Gastnetz.
Ich hoffe, das senkt das Risiko.
Erstmal stellt sich mir die Frage, ob in einem Gerät für Kritische Infrastruktur überhaupt das Wlan Bluetooth Modul fest veröltet werden sollte.
Eine normale PCI-E Wlan Bluetooth Karte wie man sie aus Laptops kennt, könnte nach einem Firmwareupdate des Medizinischen Gerätes problemlos ersetzt werden.
Bei Internet of Things Geräten wird sich das Problem von selbst lösen. Die haben meistens keine besonders hohe Lebenserwartung. Wenn es nach dem Firmwareupdates geht sind sie verhältnismäßig schnell EOL. Ein weiterer Betrieb geschieht dann auf eigene Gefahr.
Stelle diese Frage z.B. auf der Embedded World Messe, die dieser Tage beginnt. Da werden sich solche Module so ziemlich in allen Dingen befinden, die man dort bestaunen kann.
Wusste nicht das es so eine Messe gibt. Sicherlich interessant.
Über 300km Autofahren ist es mir nicht wert. Wohne einfach zu weit entfernt von Nürnberg.
Bei generellem Interesse, Tickets für die Embedded World Messe gibt es meist über Codes irgendwo online von diversen Ausstellern oder via Social Media usw. kostenlos.
Hier mal zwei Beispiele:
https://www.wago.com/de/lp-embedded-world
https://www.beckhoff.com/de-de/unternehmen/veranstaltungen-und-termine/embedded-world-ticket-registrierung/index.aspx
Wenn man "berechtigtes Interesse" (etwa als Technik-Student) heuchelt, braucht man auch nicht unbedingt eine Firmenadresse.
Für uns sind solche Nischen-Messen inzwischen wichtiger als die "großen" wie etwa Hannover, weil sie stärker fokussiert und dadurch auch übersichtlicher sind.
Einige Codes für 3 Tagesticket inkl. ÖPNV Nahverkehr im Stadtbereich gibt es z.B. auch hier: https://www.mydealz.de/gutscheine/kostenloses-tciket-embedded-world-nurnberg-vom-11-bis-13-marz-2025-2514558
Grundsätzlich hast du Recht.
Es handelt sich dabei allerdings afaik um AllInOne Chips.
Modular -> Größer -> Ggf. zu groß für den Einsatzzweck außerdem teurer
Mehrere Modelle mit unterschiedlichen Fähigkeiten -> teurer in der Entwicklung
Mist, für das OS gibt es Alternativen wie Linux, aber wie sieht das bei der Hardware aus?
Auch für Embedded Rechnermodule in dieser Größe gibt es mehrere konkurrierende Anbieter, neben dem Spartan ESP32 etwa den Arduino oder den Raspberry Pi.
Genau wie Linux zu Windows ist es aber kein plug-in replacement, sondern es ist viel Aufwand zu leisten (fängt beim Pinout an und hört bei der Software noch lange nicht auf), bis man so einen Wechselrichter umgerüstet hat – vom Zulassungsprozeß ganz abgesehen.
fast jeder größere Mikrochip/Mikrocontroller hat undokumentierte Befehle… diese dienen im allgemeinen bei der Entwicklung für diverse Testfunktionen!
Und Nein die werden in der Serienfertigung nicht eingespart, da diese auch während der Serienfertigung zur Chargenkontrolle/QM gebraucht werden, oder auch einfach für das "versteckte" Techniker Menu…
Klar können böswillige Akteure mit entsprechenden Wissen sowas auch ausnutzen. Man kann jemanden aber auch mit nem Küchenmesser killen…deswegen ist nen Küchenmesser aber noch lange nicht phöse und manche brauchen dazu noch nicht mal ein Messer.
Also in den letzten Jahren kommt es mir so vor als würden immer mehr Trivialitäten künstlich aufgebauscht.Leider auch hier auf dieser Seite!
PS: jedes Gerät welches die Firmware updaten kann, kann böswillig missbraucht werden.
Voll Treffer!!
Kürzer: "Jedes Gerät kann böswillig missbraucht werden."
Für mich drängt sich die Frage auf, warum 29 undokumentierte Befehle überhaupt existieren. Dass dies ein Versehen ist halte ich eher für unwahrscheinlich. Die Chips kommen von der Firma:
Espressif Systems (Shanghai) Co., Ltd.
Zhangjiang High-Tech-Park in Shanghai, China.
Und da wären wir wieder bei den Chinesen, die bekanntlich nicht unsere Freunde sind.
Absicht kann ich natürlich nicht beweisen, aber für mich klingt es absolut nicht abwegig, dass man sich diese Hintertür bewusst geschaffen hat.
Hoffe wir werden hier weiter auf dem Laufenden gehalten.