在数十亿设备使用的蓝牙芯片中发现了未记录的命令

截至 2023 年，由中国乐鑫公司生产的 ESP32 微芯片已被超过 10 亿设备使用。这些微芯片中包含未记录的命令，可能被利用进行攻击。

未记录的命令可以欺骗可信设备，进行未经授权的数据访问，在网络上跳转到其他设备，并可能实现长期持久性。

这是由西班牙研究人员 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 在 Tarlogic Security 发现的，他们昨天在马德里的 RootedCON 上展示了研究成果。

“Tarlogic Security 检测到 ESP32 微控制器中存在后门，该微控制器支持 WiFi 和蓝牙连接，并广泛应用于数百万大众市场的物联网设备中，”Tarlogic 公告中写道。

利用这个后门，敌对行为者可以进行冒充攻击，并通过绕过代码审计，永久感染敏感设备，如手机、电脑、智能锁或医疗设备。

研究人员警告说，ESP32 是全球物联网（IoT）设备中使用最广泛的 Wi-Fi 和蓝牙连接芯片之一，因此风险显著。

探索 ESP32 中的未记录命令

在 RootedCON 的演讲中，Tarlogic 的研究人员指出，尽管蓝牙协议及其实现并未变得更安全，但对其安全研究的兴趣已有所减弱。

相反，去年展示的大多数攻击缺乏有效工具，不适用于通用硬件，且使用的工具过时且未维护，与现代系统严重不兼容。

Tarlogic 开发了一个基于 C 语言的 USB 蓝牙驱动程序，该驱动程序不依赖于硬件且跨平台，可直接访问硬件，无需依赖特定操作系统的 API。

有了这个新工具，可以直接访问蓝牙流量，Tarlogic 在 ESP32 蓝牙固件中发现了隐藏的供应商特定命令（操作码 0x3F），这些命令允许对蓝牙功能进行低级控制。

总共，他们发现了 29 个未记录的命令，这些命令被统称为“后门”，可用于内存操作（读写 RAM 和 Flash）、MAC 地址欺骗（设备冒充）以及 LMP/LLCP 数据包注入。

乐鑫尚未公开这些命令的文档，因此这些命令要么不应被访问，要么是无意中遗留的。此问题现已被标记为 CVE-2025-27840。

这些命令带来的风险包括在 OEM 级别的恶意实现以及供应链攻击。

根据设备上蓝牙堆栈处理 HCI 命令的方式，可能会通过恶意固件或非法蓝牙连接远程利用这些命令。

如果攻击者已经获得 root 权限，在设备上植入恶意软件，或者推送恶意更新以获取低级访问权限，情况尤其严重。

一般来说，物理访问设备的 USB 或 UART 接口会更加危险，且更接近现实的攻击场景。

“在可以用 ESP32 入侵物联网设备的环境中，你可以将 APT 隐藏在 ESP 的内存中，并通过蓝牙或 Wi-Fi 对其他设备发起攻击，同时通过 Wi-Fi 或蓝牙远程控制该设备，”研究人员解释道。

我们的发现将使我们能够完全控制 ESP32 芯片，并通过允许修改 RAM 和 Flash 的命令在芯片中实现持久性。

此外，由于芯片的持久性，可能能够传播到其他设备，因为 ESP32 支持执行高级蓝牙攻击。