MADRID / MÜNCHEN (IT BOLTWISE) – In der Welt der IoT-Geräte sorgt eine neue Entdeckung für Aufsehen: Der weit verbreitete ESP32-Chip enthält bislang unbekannte Befehle, die potenziell missbraucht werden könnten.
Der ESP32-Chip, ein essenzielles Bauteil in über einer Milliarde IoT-Geräten weltweit, steht im Mittelpunkt einer aktuellen Sicherheitsdebatte. Spanische Forscher von Tarlogic Security haben eine Reihe von nicht dokumentierten, herstellerspezifischen Befehlen in der Bluetooth-Firmware des Chips entdeckt. Diese Befehle ermöglichen einen tiefen Zugriff auf die Bluetooth-Funktionen und könnten theoretisch für böswillige Zwecke genutzt werden.
Der ESP32, hergestellt von der chinesischen Firma Espressif, ist ein zentraler Bestandteil für Wi-Fi- und Bluetooth-Konnektivität in zahlreichen smarten Geräten, von Mobiltelefonen über Computer bis hin zu medizinischen Geräten. Die Entdeckung dieser Befehle wirft Fragen zur Sicherheit und Integrität der Geräte auf, die diesen Chip verwenden.
Die Forscher Miguel Tarascó Acuña und Antonio Vázquez Blanco präsentierten ihre Ergebnisse auf der RootedCON in Madrid. Sie fanden heraus, dass es 29 versteckte herstellerspezifische Befehle gibt, die unter anderem das Lesen und Modifizieren des Speichers im ESP32-Controller ermöglichen. Obwohl diese Befehle nicht direkt aus der Ferne zugänglich sind, könnten sie bei physischem Zugriff oder bereits kompromittierter Firmware ausgenutzt werden.
Die Entdeckung dieser Befehle hat Bedenken hinsichtlich möglicher bösartiger Implementierungen auf OEM-Ebene und der Gefahr von Lieferkettenangriffen geweckt. Espressif hat diese Befehle bisher nicht öffentlich dokumentiert, was eher auf ein Versehen als auf eine absichtliche Einfügung hindeutet.
Die Befehle könnten genutzt werden, um Speicher zu manipulieren, MAC-Adressen zu fälschen und LMP/LLCP-Pakete zu injizieren. Während diese Funktionen nicht von Natur aus bösartig sind, könnten sie von Angreifern missbraucht werden, die bereits Zugang zu einem Gerät haben, um beispielsweise Sicherheitsprüfungen zu umgehen oder das Verhalten des Geräts dauerhaft zu ändern.
Die Risiken, die mit diesen Befehlen verbunden sind, hängen stark vom Angriffsvektor ab. In den meisten Fällen würde eine Fernexploitierung zusätzliche Schwachstellen erfordern, wie vorinstallierte Malware oder Firmware-Manipulation. Ein praktischerer Angriffsszenario würde wahrscheinlich physischen Zugriff auf die USB- oder UART-Schnittstelle des Geräts erfordern.
Um diese versteckten Befehle zu analysieren und offenzulegen, hat Tarlogic einen neuen C-basierten USB-Bluetooth-Treiber namens BluetoothUSB entwickelt. Dieses Tool ermöglicht hardwareunabhängige und plattformübergreifende Zugriffe auf Bluetooth-Verkehr und schließt eine bedeutende Lücke in den aktuellen Sicherheitstest-Tools.
Angesichts der weiten Verbreitung des ESP32 in kostengünstigen IoT-Geräten, die für nur wenige Dollar erhältlich sind, ist die Entdeckung dieser Befehle ein eindringlicher Hinweis darauf, warum starke Firmware-Sicherheit in der IoT-Welt unerlässlich ist.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent Softwareentwicklung - Künstliche Intelligenz (m/w/d)
Werkstudent(m/w/d) im Bereich Innovations -Weiterentwicklung KI gestütztes Innovationsmanagementtool
Logistik Performance Manager (d/m/w) Schwerpunkt IT & KI
IT-Consultant für KI (insb. S-KIPilot) und sparkasseninterne Anwendungen (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Verborgene Sicherheitsrisiken im ESP32-Chip aufgedeckt" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Verborgene Sicherheitsrisiken im ESP32-Chip aufgedeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Verborgene Sicherheitsrisiken im ESP32-Chip aufgedeckt« bei Google Deutschland suchen und bei Google News recherchieren!