Alle, die ein bisschen mit Elektronik rumspielen, kennen den Begriff ESP32. Dahinter steckt eine ganze Familie von weitgehend gleich aufgebauten Mikrocontrollern. Verschiedene Versionen existieren, die Funktionsweise ist eigentlich immer dieselbe - die Teile sind recht billig, recht simpel zu verwenden, und weltweit weit verbreitet im Einsatz.
Smartwatches, diverse Home Automation Systeme, IoT, Flugdrohnen, einige Gadgets im Infosec Bereich… kurz gesagt - wenn es Elektronik steuern soll, und eine günstige Funkschnittstelle braucht, dann ist da vermutlich ein ESP32 Chip drin.
2023 hat Espressif, die chinesische Firma dahinter, bekannt gegeben über eine Milliarde von den Chips verkauft zu haben. Mit hoher Wahrscheinlichkeit ist einer davon jetzt gerade weniger als 10m von euch entfernt.
Da der Kram auch viel von Bastlern benutzt wird, sollte man davon ausgehen können „Gäbe es da große Sicherheitslücken zu finden, dann seien diese mittlerweile längst gefunden und behoben worden“
Tja… „Ja“, und „Nein“. Mit den Standardtreibern für Bluetooth war die Schnittstelle halt so sicher, wie Bluetooth-Schnittstellen derzeit sind. Auf der RootedCon in Spanien hat dieser Tage ein Team präsentiert dass sie ihre eigenen Bluetooth-Treiber geschrieben haben, die eine etwas feiner granulierte Funktionalität haben und auch Commands senden konnten, die der ursprüngliche Treiber so nicht vorsah.
Ob es sich um undokumentierte, aber vorgesehene, Funktionalitäten handelt, oder ob der Chip in eine undokumentierte und nicht vorgesehene Reaktion bewegen lässt ist eine Frage, die derzeit nicht abschließend geklärt ist. Aber der Artikel von Bleeping Computers läßt wenig positives erahnen, auch wenn sich hier fraglos erst noch einiges herauskristallisieren muss.
Aus der Mitteilung der Forscher selbst:
Tarlogic has detected that ESP32 chips, which allow connectivity via WiFi or Bluetooth, have hidden commands not documented by the manufacturer. These commands would allow modifying the chips arbitrarily to unlock additional functionalities, infecting these chips with malicious code, and even carrying out attacks of identity theft of devices.
In this way, malicious actors could impersonate known devices to connect to mobile phones, computers and smart devices, even if they are in offline mode. For what purpose? To obtain confidential information stored on them, to have access to personal and business conversations, and to spy on citizens and companies.
CVSS ist derzeit noch nicht festgelegt, und ich habe den Verdacht dass wird auch noch eine Weile so bleiben.