ESP32 và nguy cơ bảo mật từ lệnh ẩn
Một nhóm nghiên cứu bảo mật vừa phát hiện tập lệnh chưa được công bố trên vi mạch ESP32, một trong những chip phổ biến nhất được sử dụng trong thiết bị IoT trên toàn cầu. Theo các chuyên gia, những lệnh đặc biệt này có thể bị khai thác để truy cập bộ nhớ thiết bị và thao túng chức năng Bluetooth, gây ra nguy cơ tiềm ẩn đối với bảo mật hệ thống. Tuy nhiên, việc khai thác những lệnh này từ xa không đơn giản và thường yêu cầu quyền truy cập vật lý hoặc phần mềm đã bị xâm nhập trước đó.
Vi mạch ESP32, do công ty Espressif (Trung Quốc) sản xuất, là một thành phần quan trọng trong các thiết bị di động, máy tính, khóa thông minh và thiết bị y tế, hỗ trợ cả kết nối Wi-Fi và Bluetooth. Theo thống kê, tính đến năm 2023, hơn 1 tỷ thiết bị trên toàn thế giới đang sử dụng ESP32.
Phát hiện này được công bố bởi hai nhà nghiên cứu bảo mật người Tây Ban Nha, Miguel Tarascó Acuña và Antonio Vázquez Blanco thuộc Tarlogic Security, tại hội nghị RootedCON ở Madrid. Nhóm nghiên cứu đã xác định 29 lệnh độc quyền ẩn trong firmware Bluetooth của ESP32, bao gồm Opcode 0x3F, cho phép kiểm soát cấp thấp đối với các chức năng Bluetooth.
Dù ban đầu bị gọi là “cửa hậu” (backdoor), nhóm nghiên cứu sau đó đã làm rõ rằng những lệnh này thực chất là các tính năng ẩn, có thể dùng để đọc và chỉnh sửa bộ nhớ trên vi mạch ESP32. Tuy nhiên, sự tồn tại của các lệnh này vẫn làm dấy lên lo ngại về các cuộc tấn công chuỗi cung ứng và khả năng cài cắm cửa hậu từ nhà sản xuất thiết bị gốc (OEM).
Nguy cơ bảo mật và cách khai thác
Sự tồn tại của những lệnh chưa được công bố này có thể bị lợi dụng để đọc và ghi bộ nhớ RAM, Flash, thay đổi địa chỉ MAC để giả mạo thiết bị, hoặc tiêm gói tin LMP/LLCP. Dù bản thân những tính năng này không có mục đích xấu, nhưng trong tay kẻ tấn công, chúng có thể bị sử dụng để giả mạo thiết bị, vượt qua kiểm tra bảo mật hoặc thay đổi vĩnh viễn hành vi của thiết bị.
A unique tool to audit the security of the Bluetooth standard on any IoT device. Miguel Tarascó and @antonvblanco are presenting #BluetoothUSB at @rootedcon. pic.twitter.com/hsCFCWOCuB
— Tarlogic (@Tarlogic) March 6, 2025
Nguy cơ của các lệnh này chủ yếu phụ thuộc vào phương thức tấn công. Trong hầu hết các trường hợp, khai thác từ xa yêu cầu phải có lỗ hổng bảo mật khác đi kèm, chẳng hạn như phần mềm độc hại cài đặt sẵn hoặc firmware đã bị can thiệp. Một kịch bản tấn công thực tế hơn có thể là kẻ tấn công có quyền truy cập vật lý vào cổng USB hoặc UART của thiết bị, từ đó thực hiện thao túng trực tiếp.
Để phân tích và tìm ra những lệnh ẩn này, nhóm nghiên cứu Tarlogic đã phát triển BluetoothUSB – một trình điều khiển Bluetooth mới dựa trên C, giúp truy xuất dữ liệu Bluetooth mà không phụ thuộc vào API hệ điều hành. Công cụ này cho phép thực hiện kiểm tra bảo mật toàn diện trên các thiết bị Bluetooth mà không cần phần cứng chuyên biệt, khắc phục điểm yếu của các công cụ bảo mật truyền thống vốn bị giới hạn bởi hệ điều hành.
Với sự phổ biến rộng rãi của ESP32 trong các thiết bị IoT giá rẻ (có thể chỉ từ 2 USD), phát hiện này là lời nhắc nhở quan trọng về tầm quan trọng của bảo mật firmware. Dù các lệnh ẩn này ban đầu có thể được thiết kế để hỗ trợ gỡ lỗi và phát triển, nhưng sự tồn tại của chúng đặt ra thách thức lớn về bảo mật hệ thống IoT trong tương lai.
