Ricercatori di Tarlogic Security rivelano funzionalità non documentate nel microchip ESP32, potenzialmente sfruttabili per attacchi informatici
Tarlogic Security ha scoperto funzionalità nascoste nel chip Esp32, un microcontrollore ampiamente utilizzato in milioni di dispositivi IoT per la connettività Wi-Fi e Bluetooth, prodotto dall'azienda cinese Espressif. La scoperta, presentata durante la conferenza RootedCON, rivela la presenza di comandi non documentati dal produttore, potenzialmente sfruttabili come backdoor per attacchi di impersonificazione e infezioni permanenti.
Lo sfruttamento di questa funzionalità nascosta potrebbe compromettere la sicurezza di dispositivi sensibili come telefoni cellulari, computer, serrature intelligenti e apparecchiature mediche, consentendo ad attori malevoli di bypassare i controlli di audit del codice. L'impatto potenziale include il furto di identità, l'accesso a informazioni riservate e lo spionaggio di cittadini e aziende.
Espressif ha prontamente riconosciuto la presenza dei comandi scoperti, ma ha sottolineato che si tratta di funzionalità interne non sfruttabili da remoto e ha annunciato misure per mitigarne il potenziale rischio.
La scoperta dei comandi nascosti è il risultato di un'analisi approfondita condotta utilizzando la metodologia Bsam, sviluppata da Tarlogic. I comandi proprietari trovati nel chip Esp32 permettono operazioni come la lettura e la modifica della memoria del controller, offrendo un potenziale vettore per attacchi alla catena di approvvigionamento e l'occultamento di backdoor.
Il microcontrollore ESP32, sviluppato da Espressif Systems, ha trovato una vasta applicazione nei dispositivi elettronici moderni, grazie alla sua capacità di supportare connessioni Wi-Fi e Bluetooth. Questa versatilità lo rende particolarmente adatto per l'uso nei dispositivi IoT (Internet of Things), che richiedono una connettività wireless costante e affidabile per funzionare efficacemente.
Tra i vari ambienti in cui l'ESP32 è impiegato, spiccano i dispositivi domestici intelligenti. Lampadine, prese, termostati, serrature e telecamere di sicurezza sono solo alcuni esempi di come questo chip renda le nostre case più connesse e facilmente gestibili tramite smartphone o comandi vocali.
Anche il settore dell'indossabile beneficia notevolmente dell'ESP32. Smartwatch e fitness tracker utilizzano questo microcontrollore per monitorare le attività quotidiane degli utenti e sincronizzarle con i loro dispositivi mobili, garantendo così un flusso continuo di dati personali rilevanti per la salute e il fitness.
In ambito industriale, l'ESP32 è essenziale per sensori e sistemi di controllo che richiedono connessioni affidabili e a lungo termine, sostenendo così l'automazione e l'efficienza operativa in varie applicazioni industriali. Infine, per gli appassionati di elettronica e i maker, l'ESP32 apre infinite possibilità in progetti fai-da-te. Che si tratti di automazione domestica, robotica o sviluppo di sensori ambientali, il chip offre una piattaforma robusta e versatile per sperimentare e innovare.
