М алко известен производител на чипове е допуснал грешка, която излага над 1 млрд. устройства по света на риск от атака, съобщава BleepingComputer. Компанията Espressif произвежда чипа ESP32, който осигурява връзка с Wi-Fi мрежи и Bluetooth устройства.
Той се произвежда от известно време, като към края на 2023 г. е използван от над 1 млрд. устройства. Оказва се, че компанията е оставила възможност за подаване на команди към него, които не са били документирани.
Въпросните команди позволяват клониране на доверени устройства, достъп до данните в тях, прехвърляне на информация или връзки към друго устройство в мрежата и др. Откритието е на испански експерти от компанията за киберсигурност Tarlogic Security, като е представено по време на конференцията RootedCon в Мадрид.
Apple отлага по-умната версия на Siri за "идващата година"
Те описват уязвимостта като "задна врата", осигуряваща достъп до командите. Чрез тях извършителите ще могат да си осигурят постоянен достъп до желаните устройства, сред които са смартфони, компютри и дори умни ключалки и медицинско оборудване. Командите остават незабелязани и от одит на програмния код.
Оказва се, че ESP32 е един от най-използваните чипове за Wi-Fi и Bluetooth връзка в IoT устройства, т.е. по-малки сензори, джаджи за умен дом, системно оборудване и др. Общо са открити 29 недокументирани команди, които дават контрол над чипа на най-ниско ниво. Експертите казват, че има два варианта - Espressif е искала да ги остави със силно ограничен достъп или е забравила да ги махне след края на разработката на чипа.
Apple пусна най-мощния компютър в историята си
Gemini за смартфони получава нови практични функции
Чрез тях може да се вземе пълен контрол над чипа, включително и да бъде модифициран. Възможността за атака не е била известна на хакерите, като извършването ѝ чрез командите изисква сериозни познания и физическа близост до устройството - за да може да се осъществи връзка с чипа посредством WiFi или Bluetooth. Това намалява риска от използването на командите за масови атаки, но ги прави подходящи за целенасочени вмешателства. Засега от Espressif не са коментирали темата.
AI става достъпен за всички с новата A-серия на Samsung
Redmi Note 14 комбинира мощ и издръжливост
Не пропускайте най-важните новини - последвайте ни в Google News Showcase
