Backdoor não documentado encontrado em chip Bluetooth usado em bilhões de dispositivos

 (bleepingcomputer.com)
3 pontos por GN⁺ 2025-03-09 | 1 comentários | Compartilhar no WhatsApp

Descoberta de backdoor em chip Bluetooth

  • Backdoor no chip ESP32: Foi descoberto um "backdoor" não documentado no microchip ESP32, da fabricante chinesa Espressif. Em 2023, esse chip era usado em mais de 1 bilhão de dispositivos. O backdoor pode falsificar dispositivos confiáveis, permitir acesso não autorizado a dados, mover-se para outros dispositivos na rede ou estabelecer persistência de longo prazo.

  • Contexto da descoberta: Os pesquisadores espanhóis Miguel Tarascó Acuña e Antonio Vázquez Blanco descobriram esse backdoor e apresentaram o caso na RootedCON, em Madri. Esse backdoor pode infectar permanentemente dispositivos sensíveis, como celulares, computadores, fechaduras inteligentes e equipamentos médicos.

Backdoor encontrado no ESP32

  • Pesquisa em segurança Bluetooth: O interesse em pesquisa de segurança Bluetooth diminuiu, mas isso não significa que o protocolo ou as implementações tenham se tornado mais seguros. A maioria dos ataques não dispõe de ferramentas funcionais ou usa ferramentas antigas que não são compatíveis com hardware comum nem com sistemas modernos.

  • Desenvolvimento de nova ferramenta: A Tarlogic desenvolveu um novo driver USB Bluetooth em C, independente de hardware e multiplataforma, permitindo acesso direto ao hardware sem depender de APIs específicas do sistema operacional. Com isso, descobriu comandos específicos do fabricante ocultos (Opcode 0x3F) no firmware Bluetooth do ESP32.

  • Comandos descobertos: Ao todo, foram encontrados 29 comandos não documentados, que podem ser usados para manipulação de memória (leitura/escrita de RAM e Flash), falsificação de endereço MAC (spoofing de dispositivo) e injeção de pacotes LMP/LLCP.

  • Riscos: Esses comandos podem viabilizar implementações maliciosas em nível de OEM e ataques à cadeia de suprimentos. Em especial, se um invasor já tiver acesso root, inserir firmware malicioso ou empurrar uma atualização maliciosa, poderá explorar o backdoor remotamente.

  • Risco de acesso físico: Em geral, obter acesso físico às interfaces USB ou UART do dispositivo é um cenário de ataque mais perigoso e mais realista.

  • Explicação dos pesquisadores: Os pesquisadores afirmam que é possível assumir controle total do chip ESP32 e obter persistência no chip por meio de comandos de modificação de RAM e Flash, com possibilidade de propagação para outros dispositivos.

  • Resposta da Espressif: A BleepingComputer pediu um posicionamento da Espressif sobre os resultados da pesquisa, mas não recebeu resposta imediata.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-09
Comentários do Hacker News

  • O título pode induzir ao erro. A "backdoor" aparentemente permite inspecionar e manipular a memória e outras funções de baixo nível do próprio adaptador USB Bluetooth. Não é algo utilizável via rádio

    • Comandos de depuração não documentados são comuns. Já encontrei recursos parecidos em adaptadores Wi‑Fi e receptores GPS. Eles são descobertos por engenharia reversa do firmware do chip ou dos drivers do fabricante. Por si só, isso não é um grande problema. Permitir firmware não assinado é igualmente vulnerável
    • Se esse recurso puder ser usado de fora do host, aí seria uma história muito diferente

  • Os pesquisadores descobriram recursos de hardware não documentados que permitem acesso de baixo nível à stack Wi‑Fi do ESP32

    • Chamar isso de "backdoor" é puro caça-cliques

  • Esta manchete é falsa. Uma backdoor em um chip Bluetooth permitiria que um atacante sem fio executasse código no chip. O que este artigo relata é que o driver do dispositivo conectado pode executar código no chip. Isso não viola nenhuma fronteira de segurança

    • Em um ecossistema jornalístico que funcionasse bem, isso exigiria retratação e causaria um grande dano à reputação do veículo que publicou. Mas isso não vai acontecer

  • Estou confuso se isso é só o fato de existirem alguns comandos não documentados na stack Bluetooth. Se isso só for acessível a código que já está em execução no dispositivo, eu não chamaria isso de backdoor

  • Em teoria, você precisa ter acesso de baixo nível ao próprio rádio BT conectado. Isso é esperado

    • Eu prefiro que dispositivos tenham essas interfaces de baixo nível. O problema pode ser menos a existência delas e mais a falta de documentação
    • Já destravei dispositivos e assumi a posse deles usando comandos de leitura/escrita de memória via USB em rádios da Qualcomm. Isso talvez não seja bom por ser leitura/escrita OOB completa, mas seria melhor se isso só fosse acessível a partir de código gravado no dispositivo

  • Boa pesquisa, mas manchete ruim. O vetor de ataque exige acesso físico e, em quase todos os casos, já seria possível por outros meios. "Comandos não documentados encontrados em chips Bluetooth comuns" seria uma manchete melhor

  • TL;DR: Fizeram engenharia reversa do firmware e encontraram comandos HCI para leitura/escrita de memória, envio de pacotes, definição de endereço MAC etc.

    • Na prática, não é uma backdoor. Não sei se eles chamaram isso de backdoor (a apresentação está em espanhol) ou se foram os jornalistas que usaram esse termo para gerar cliques
    • Para enviar comandos HCI ao dispositivo, é preciso ter acesso arbitrário. Isso significa que você já controla o dispositivo. Não é algo explorado remotamente por um link sem fio. Todos os exploits já exigem controle completo do dispositivo e, nesse ponto, mudar o endereço MAC ou enviar pacotes não é nada surpreendente
    • É uma pesquisa interessante, mas é realmente decepcionante ver isso empacotado como "backdoor". Não sei de quem é a responsabilidade por essa formulação. Provavelmente dos jornalistas

  • Todo mundo acha normal instalar drivers blob binários opacos rodando em espaço de kernel em desktops e laptops, e nem conseguir acesso root ao próprio celular controlado pela nuvem, mas comandos ESP32 não documentados de baixo nível, que só podem ser usados quando o dispositivo já está comprometido, viram um vetor de ameaça digno de notícia

    • Fico me perguntando se algo se perdeu na tradução. Antigamente eu teria achado isso incrível e tentado descobrir como transformar isso em SDR