在IoT无线芯片“后门”上发出警报

端点安全性，硬件 /芯片级安全性，物联网安全性

网络安全公司在广泛使用的ESP32 Chip Mathew J. Schwartz中警告“隐藏功能”（EUROINFOSEC）•2025年3月10日

ESP32 WROOM 32D的开发委员会。 （图片：shutterstock）

安全研究人员警告说，具有集成无线网络的低成本的中国制造的微控制器可以通过固件中的一组无证件命令来操纵恶意代码。

参见： ondemand |保护设备和软件免受下一代网络威胁

在星期四在马德里的网络安全会议上的演讲中，两名来自西班牙公司Tarlogic Innovation的研究人员 详细的 他们的组织什么 计费 作为一种“后门”，该公司后来在推迟后将其研究过多后修改为“隐藏功能”。

该公司在一份声明中说：“我们要澄清说，将专有HCI命令的存在提及，允许在ESP32控制器中阅读和修改内存之类的操作为“隐藏功能”而不是“后门”。”

TARLOGIC的研究人员MiguelTarascócuña和AntonioVázquezBlanco对ESP32固件进行了反向工程 – 供应商在其Github页面上包含IT副本，并在芯片的供应商特异性主机控制器接口或HCI中发现了29个无证件命令。

这些可以用来以一种出乎意料的方式从主机写入控制器。 Tarlogic Innovation说：“这些命令将允许任意修改芯片以解锁其他功能，以恶意代码感染这些芯片，甚至对设备的身份盗用进行攻击。”

它说：“这些命令的使用可以促进供应链的攻击，隐藏在芯片组中的后门或执行更复杂的攻击。” “在接下来的几周内，我们将发布有关此事的更多技术细节。”

在他们的 推介会研究人员说，隐藏的命令集可用于更改设备的MAC地址，该地址可用于模拟其他设备。这些命令还可以将数据包注入链接管理协议流量，有可能使攻击者拦截流量并直接控制设备。

隐藏命令现在正在跟踪 CVE-2025-27840，被评估为构成中等风险。

数字法医帕斯卡·古杰（Pascal Gujer） 说 隐藏的命令不能通过无线攻击远程利用或利用，并且任何攻击都需要有线访问HCI以及对控制器的特权。他说：“这是一种爆炸​​后工具，而不是即时游戏。” “如果攻击者已经控制了主机设备，那么无论如何您都会煮熟。”

制造商可以在其蓝牙实现中添加隐藏或无证命令的能力是规范本身的一部分。 “蓝牙核心规范列出了许多HCI命令”，但也允许特定于供应商的命令或VSC， 说 安全咨询公司Dark Mentor联合创始人网络安全研究员Xeno Kovah。

These VSCs “are commands that the silicon maker of the controller can use to manage the controller” and oftentimes get used for firmware updates as well as “to get back nice-to-have information that may not be available via spec-defined commands,” such as the temperature of the chip, or “how to perform chip-specific actions,” such as setting “a custom Bluetooth address,” he said.

此类命令可用于调试或制造过程中 说 安全研究员Davi Otterheimer。

Dark Mentor的Kovah表示，是否构成无证件命令构成安全漏洞取决于用例，包括设计设备的安全性是为了用于部署其特定方式。他说，即便如此，“授予读写记忆，闪存或寄存器的能力的VSC是“不良安全设计”，并且可能会妥协尝试使用诸如Secure Boot之类的功能，这些功能虽然默认为epspressif的芯片，但默认情况下是禁用的。