Зброя для зловмисників. Мільярд пристроїв у всьому світі має критичну вразливість через дешевий Bluetooth-чип

ESP32 — це надзвичайно поширений мікроконтролер, який забезпечує підключення WiFi та Bluetooth. У 2023 році Espressif повідомила, що один мільярд одиниць ESP32 було продано по всьому світу. Мільйони пристроїв, як-от інтелектуальна техніка, використовують такий чип. Компанія продає їх приблизно за 2 долари, що пояснює, чому так багато пристроїв використовують саме цей компонент замість дорожчих варіантів.

За словами дослідників з кібербезпеки з компанії Tarlogic, у Bluetooth-чипі від китайського виробника було знайдено приховані команди, В Tarlogic кажуть, що Espressif не документує ці команди, і ця секретна функція може стати зброєю зловмисників і, на думку дослідників, використовуватися як експлойт у цих пристроях.

Дослідники також зазначають, що приховані команди можуть бути використані для атак з видаванням себе за іншу особу та постійного зараження чутливих пристроїв, як мобільні телефони, комп’ютери, розумні замки або медичне обладнання. Використовуючи ці команди, хакери можуть підключатися до смартфонів, комп’ютерів та інших пристроїв, щоб отримати доступ до інформації, що зберігається на них. Зловмисники також можуть продовжувати використовувати своє з'єднання з пристроєм, щоб шпигувати за користувачами, використовуючи цю вразливість.

Дослідники загалом виявили 29 прихованих функціональних можливостей, які можна використати для імітації відомих пристроїв і доступу до конфіденційної інформації, що зберігається на пристрої.