全球十億設備使用的藍牙晶片發現安全漏洞

ESP32 是中國製造商樂鑫推出的一款非常受歡迎的低成本晶片，預計到 2023 年將在全球超過 10 億台設備中使用，但其中包含一個未記錄的“後門”，可被利用進行攻擊。

這些未記錄的命令允許模仿受信任的設備、未經授權存取資料、重新導向到網路上的其他設備以及建立持久性的能力。

這項發現由西班牙網路安全研究人員、Tarlogic Security 團隊的 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 公佈。該聲明是在馬德里 RootedCON 會議上發表的：

Tarlogic Security 在 ESP32 中發現了一個後門，ESP32 是一系列支援 WiFi 和藍牙連接的微控制器，存在於市場上數百萬台物聯網設備中。利用此後門，惡意行為者可以繞過程式碼檢查，進行欺騙攻擊並永久感染手機、電腦、智慧鎖或醫療設備等敏感設備。

ESP32 是世界上用於物聯網 (IoT) 設備 Wi-Fi + 藍牙連接的最廣泛使用的晶片之一，因此任何後門的風險都是巨大的。

ESP32 中的後門

Tarlogic 的研究人員在 RootedCON 的一次演講中解釋說，人們對藍牙安全研究的興趣有所下降，但這並不是因為該協議或其實現變得更加安全。

相反，去年出現的大多數攻擊都沒有可用的工具，與主流硬體不相容，並且使用與現代系統基本上不相容的過時或未維護的工具。

Tarlogic 開發了一種新的基於 C 語言、獨立於硬體且跨平台的 USB 藍牙驅動程序，該驅動程式允許直接存取硬件，而無需依賴作業系統特定的 API。

利用這個允許原始存取藍牙流量的新工具，Tarlogic 在 ESP32 藍牙韌體中發現了隱藏的供應商特定命令（操作碼 0x3F），從而允許對藍牙功能進行低階控制。

總共，他們發現了 29 個未記錄的命令，統稱為“後門”，可被濫用於記憶體操作（讀取/寫入 RAM 和 Flash）、MAC 位址欺騙（設備欺騙）以及推送 LMP/LLCP 封包。該問題目前被追踪，識別碼為 CVE-2025-27840。

潛在風險

這些命令帶來的風險包括OEM層級的惡意部署和供應鏈攻擊。

根據藍牙堆疊如何處理裝置上的 HCI 命令，可能透過惡意韌體或欺騙的藍牙連線進行遠端後門利用。

如果攻擊者已經擁有 root 存取權限、安裝了惡意軟體或向裝置推送了惡意更新，從而開放了低階存取權限，則尤其如此。

然而，一般來說，實體存取裝置的 USB 或 UART 介面要危險得多，而且是更現實的攻擊場景。

「在你可以入侵運行 ESP32 晶片的物聯網設備的情況下，你將能夠在 ESP 內存中隱藏 APT（高級持續性威脅）並對其他設備執行藍牙（或 Wi-Fi）攻擊，同時還可以通過 Wi-Fi/藍牙控制該設備，」該團隊解釋道。我們的發現將允許攻擊者完全控制 ESP32 晶片，並透過允許修改 RAM 和 Flash 的命令在晶片內保持持久性。此外，由於 ESP32 允許進行進階藍牙攻擊，因此由於晶片內具有持久性，攻擊者有可能傳播到其他裝置。

WebTech360將持續更新此問題的信息，敬請關注。