主要观点总结
乐鑫科技的ESP32微芯片被发现包含未记录的命令,这些命令可被用于攻击,存在欺骗受信任设备、未经授权的数据访问等风险。这些命令由Tarlogic Security的研究人员发现,并已向BleepingComputer报道。乐鑫正在被联系以发表声明。ESP32是世界上物联网设备中使用最广泛的芯片之一,因此风险很大。
关键观点总结
关键观点1: ESP32微芯片被发现包含可用于攻击的未记录命令。
这些命令允许欺骗受信任设备、未经授权的数据访问,并可能建立长期持久性。
关键观点2: Tarlogic Security的研究人员发现了这些未记录的命令,并警告说这些命令存在的风险包括OEM级别的恶意实现和供应链攻击。
这些命令可用于内存操作、MAC地址欺骗和LMP/LLCP数据包注入。
关键观点3: ESP32是世界上物联网设备中使用最广泛的芯片之一,因此风险很大。
这个问题现在在CVE-2025-27840下进行跟踪,并可能影响使用ESP32的其他设备。
文章预览
风险包括OEM级别的恶意实现和供应链攻击。 编译 | ZeR0 编辑 | 漠影 芯东西3月10日消息,据Bleeping Computer报道,中国无线通信芯片公司乐鑫科技的ESP32微芯片被发现包含可用于攻击的未记录命令。未记录的命令允许欺骗受信任设备、未经授权的数据访问、转向网络上的其他设备,并可能建立长期持久性。 ESP32是一个 支持Wi-Fi和蓝牙连接的微控制器 , 截至2023年已被超过10亿台设备使用。 这是由Tarlogic Security的西班牙研究人员Miguel Tarascó Acuña和Antonio Vázquez Blanco发现的,他们在马德里的RootedCON上展示了这一发现。利用在ESP32中检测到的后门,恶意行为者可模拟攻击,绕过代码审计控制,永久感染手机、计算机、智能锁或医疗设备等敏感设备。BleepingComputer已联系乐鑫就这一发现发表声明,但没有立即得到置评。 研究人员警告说,ESP32是世界上物联
………………………………
