Penyelidik keselamatan telah menemui kerentanan berpotensi yang boleh menjejaskan berbilion peranti di seluruh dunia. Mikrocip ESP32, komponen yang terdapat dalam banyak peranti IoT dari telefon pintar hingga peralatan perubatan, mengandungi arahan yang tidak didokumentasikan yang berpotensi dieksploitasi dalam keadaan tertentu.
Penemuan
Penyelidik keselamatan Sepanyol dari Tarlogic Security telah mengenal pasti satu set 29 arahan tersembunyi khusus vendor dalam perisian tegar Bluetooth mikrocip ESP32. Arahan Host Controller Interface (HCI) proprietari ini, termasuk satu yang dikenali sebagai Opcode 0x3F, membolehkan kawalan tahap rendah ke atas fungsi Bluetooth dan tidak didokumentasikan secara terbuka oleh pengeluar. Para penyelidik membentangkan penemuan mereka di RootedCON di Madrid, menekankan bagaimana arahan ini berpotensi digunakan untuk membaca dan mengubah suai memori dalam pengawal ESP32.
Skop Impak
Mikrocip ESP32, yang dihasilkan oleh syarikat China Espressif, adalah salah satu komponen yang paling banyak digunakan di dunia untuk membolehkan sambungan WiFi dan Bluetooth dalam peranti IoT. Populariti cip ini sebahagiannya disebabkan oleh harganya yang berpatutan, dengan unit berharga serendah $2 di platform e-dagang. Menurut Espressif, cip ini terdapat dalam lebih daripada satu bilion peranti di seluruh dunia, termasuk telefon pintar, kunci pintar, pembesar suara, dan bahkan peralatan perubatan, menjadikan potensi impak sebarang isu keselamatan amat besar.
Butiran Mikrocip ESP32:
- Pengilang: Espressif (syarikat dari China)
- Penggunaan: Terdapat dalam lebih daripada 1 bilion peranti di seluruh dunia
- Jenis peranti: Telefon pintar, komputer, kunci pintar, peralatan perubatan, pembesar suara
- Kos: Serendah RM2 di platform e-dagang
- Fungsi: Menyediakan sambungan WiFi dan Bluetooth untuk peranti IoT
Keupayaan dan Risiko
Arahan yang tidak didokumentasikan yang ditemui oleh para penyelidik boleh membenarkan operasi seperti membaca dan menulis ke memori RAM dan Flash, menyamar alamat MAC untuk menyamar sebagai peranti lain, dan menyuntik paket LMP/LLCP. Walaupun fungsi-fungsi ini tidak semestinya berniat jahat dan berkemungkinan disertakan untuk tujuan nyahpepijat, ia berpotensi disalahgunakan oleh penyerang yang telah mendapat akses kepada peranti. Ini boleh membolehkan serangan penyamaran, pemintasan audit keselamatan, atau pengubahsuaian kekal terhadap tingkah laku peranti.
Perintah Tersembunyi Ditemui:
- 29 perintah khusus vendor termasuk Opcode 0x3F
- Keupayaan: Membaca/menulis ke RAM dan memori Flash, penipuan alamat MAC, suntikan paket LMP/LLCP
- Model yang terjejas: Hanya cip ESP32 asal (siri ESP32-C, ESP32-S, dan ESP32-H tidak terjejas)
- Keperluan eksploitasi: Biasanya memerlukan akses fizikal atau perisian tegar yang sudah dikompromi
Batasan Eksploitasi
Penting untuk diperhatikan bahawa arahan ini tidak boleh diakses secara langsung dari jarak jauh tanpa kerentanan tambahan. Espressif telah menjelaskan bahawa arahan tersebut tidak boleh dipicu oleh Bluetooth, isyarat radio, atau melalui Internet, bermakna ia tidak menimbulkan risiko kompromi jarak jauh dengan sendirinya. Senario serangan yang paling praktikal mungkin melibatkan akses fizikal ke antara muka USB atau UART peranti, atau perisian tegar yang telah dikompromi. Selain itu, Espressif menyatakan bahawa jika ESP32 digunakan dalam aplikasi kendiri yang tidak disambungkan ke cip hos yang menjalankan hos BLE, arahan tersebut tidak terdedah dan tidak menimbulkan ancaman keselamatan.
Respons Pengeluar
Sebagai tindak balas kepada penemuan ini, Espressif telah menerbitkan penjelasan mengenai kebimbangan tersebut. Syarikat itu menekankan bahawa ini bukan pintu belakang tetapi antara muka nyahpepijat yang disediakan oleh IP. Mereka menjelaskan bahawa mempunyai arahan peribadi sedemikian bukanlah amalan yang luar biasa dalam industri. Walaupun mengekalkan bahawa arahan tersebut tidak menimbulkan risiko keselamatan dengan sendirinya, Espressif telah komited untuk menyediakan pembaikan perisian untuk menghapuskan arahan yang tidak didokumentasikan ini. Syarikat itu juga menyatakan bahawa hanya cip ESP32 asal yang terjejas, bukan mana-mana siri ESP32-C, ESP32-S, dan ESP32-H.
Alat Penyelidikan dan Implikasi
Untuk menganalisis dan mendedahkan arahan tersembunyi ini, Tarlogic telah membangunkan pemacu Bluetooth USB berasaskan C baharu yang dipanggil BluetoothUSB. Alat ini menyediakan akses bebas perkakasan dan merentas platform kepada trafik Bluetooth, membolehkan audit keselamatan komprehensif peranti Bluetooth tanpa bergantung pada API khusus OS. Ini menangani jurang yang ketara dalam alat ujian keselamatan semasa, yang sering memerlukan perkakasan khusus dan terbatas oleh kebergantungan mereka pada sistem operasi tertentu.
Pertimbangan Keselamatan Masa Depan
Penemuan ini menekankan kepentingan ketelusan dalam komponen perkakasan, terutamanya yang digunakan dalam berbilion peranti di seluruh dunia. Walaupun para penyelidik pada mulanya menggunakan istilah pintu belakang untuk menggambarkan penemuan mereka, mereka kemudiannya menjelaskan bahawa arahan HCI proprietari ini boleh dianggap dengan lebih tepat sebagai ciri tersembunyi. Namun begitu, kehadiran fungsi yang tidak didokumentasikan dalam komponen perkakasan yang digunakan secara meluas menimbulkan persoalan penting tentang keselamatan rantaian bekalan dan potensi penyalahgunaan dalam aplikasi sensitif.