В вездесущем микрочипе ESP32, с помощью которого реализуются Bluetooth- и WiFi-соединения, выявлена поддержка незадокументированных команд, которые могут использоваться для осуществления кибератак. Исследователи испанской компании Tarlogic Security прямо назвали присутствие этих команд бэкдором, открывающим доступ к миллионам устройств интернета вещей по всему миру.
По состоянию на 2023 год, согласно данным издания Bleeping Computer, этот чип был встроен примерно в миллиард различных устройств. Незадокументированные команды позволяют подменять идентификатор устройства, получать несанкционированный доступ к данным и перенаправлять соединения на другие сетевые устройства. Эксперты Tarlogic отметили, что эксплуатация этого бэкдора позволит злоумышленникам имитировать другие устройства и внедрять вредоносное ПО на такие значимые устройства, как мобильные телефоны и медицинское оборудование.
Исследования показали, что интерес к безопасности Bluetooth в последнее время снизился, но это не связано с ростом защищенности протокола. В процессе презентации на конференции RootedCON в Мадриде эксперты продемонстрировали новый платформонезависимый USB-драйвер, который они разработали для анализа трафика Bluetooth. С помощью этого инструмента исследователи обнаружили 29 скрытых команд (Opcode 0x3F), не задокументированных в официальной документации.
Среди возможностей этих команд — низкоуровневый контроль над функциями Bluetooth, а также манипуляции с памятью устройства. В Tarlogic утверждают, что такие команды могли быть оставлены в коде по недосмотру или же предполагалось, что они останутся незамеченными для пользователей. Однако независимо от причин, возникла угроза для миллионов устройств, в которых используется этот чип.
Получивший индекс уязвимости CVE-2025-27840, данный вопрос становится все более актуальным в свете масштабных атак, которые могут быть осуществлены через Bluetooth. Эксперты предупреждают, что потенциальная поверхность атаки колоссальна, и если злоумышленник получит root-доступ или внедрит вредоносное ПО, он сможет удаленно использовать эти функции, создавая серьезные уязвимости в системах.
На данный момент Espressif, разработчик ESP32, не предоставил комментариев по поводу этой проблемы. В условиях, когда миллиарды устройств могут оказаться под угрозой из-за одного компонента, необходимо принимать дополнительные меры по обеспечению безопасности в экосистеме Интернета вещей.