Undokumentierte Befehle in Bluetooth-Chip
Der seit 2023 in über einer Milliarde Geräten verbaute ESP32-Microchip des chinesischen Herstellers Espressif enthält offenbar undokumentierte Befehle, die für Angriffe genutzt werden können.
Bluetooth-Schnittstellen sind in extrem vielen Geräten vom Smartphone bis zur Waschmaschine verbaut. Dabei kommt häufig der ESP32-Microchip des chinesischen Herstellers Espressif zum Einsatz – in mehr als einer Milliarde Geräte seit seiner Markteinführung 2023. Diese könnten nun Opfer von Cyberangriffen werden, wie die Sicherheitsforscher Miguel Tarascó Acuña und Antonio Vázquez Blanco von Tarlogic Security in einem Vortrag auf der Konferenz RootedCON in Madrid darlegten.
Hintertür für Bluetooth- und WLAN-Verbindungen
Sie fanden in dem Microchip eine Hintertür, die die Bluetooth- und WLAN-Verbindungen aktivieren kann und Angreifern ermöglicht, unbefugt auf Daten und andere Geräte im Netzwerk zuzugreifen und sich langfristig in den betroffenen Geräten einzunisten. So könnten sie Attacken mit falscher Identität durchführen und empfindliche Geräte wie Mobiltelefone, Computer, intelligente Schlösser oder medizinische Geräte dauerhaft infizieren, indem sie die Kontrollen zur Code-Überprüfung umgehen.
In ihrer RootedCON-Präsentation erklärten die Tarlogic-Forscher, dass das Interesse an der Bluetooth-Sicherheitsforschung nachgelassen habe, aber nicht, weil das Protokoll oder seine Implementierung sicherer geworden seien, sondern weil die meisten Angriffe, die im vergangenen Jahr vorgestellt wurden, nur schwer in der Praxis umsetzbar waren.
Tarlogic hat einen neuen C-basierten USB-Bluetooth-Treiber entwickelt, der hardware-unabhängig und plattformübergreifend ist und einen direkten Zugriff auf die Hardware ermöglicht, ohne auf betriebssystemspezifische APIs angewiesen zu sein. Mit diesem neuen Tool, das einen direkten Zugriff auf den Bluetooth-Verkehr ermöglicht, entdeckte Tarlogic nun auch die versteckten herstellerspezifischen Befehle (Opcode 0x3F) in der ESP32-Bluetooth-Firmware, die eine Low-Level-Kontrolle über Bluetooth-Funktionen ermöglichen.
Insgesamt fanden die Sicherheitsforscher so 29 undokumentierte Befehle, die sie zusammen als Hintertür einstuften und für Speichermanipulationen (Lesen/Schreiben von RAM und Flash), MAC-Adressen-Spoofing (Geräte-Identifizierung) und LMP/LLCP-Paketinjektion verwendet werden können. Undokumentiert sind diese Befehle deshalb, weil der Hersteller Espressif sie nicht öffentlich dokumentiert hat, was nahelegt, dass sie entweder nicht zugänglich sein sollten oder versehentlich eingebaut worden sind. Das Problem wird nun unter CVE-2025-27840 verfolgt.
Weltweit verbreiteter Microchip
Besonders bedrohlich sind die Erkenntnisse der Sicherheitsforscher vor allem deshalb, weil es sich bei ESP32 um einen der weltweit am weitesten verbreiteten Microchips handelt, der für die WLAN- und Bluetooth-Konnektivität von Milliarden Geräten des Internet of Things zuständig ist. All diese Geräte laufen nun Gefahr, dass Angreifer sich Fernzugriff verschaffen können. Dies ist insbesondere dann der Fall, wenn ein Angreifer sich bereits Root-Zugriff verschafft und Malware eingeschleust oder ein bösartiges Update auf das Gerät aufgespielt hat, das einen Low-Level-Zugriff ermöglicht. Eine Lösung für das Sicherheitsproblem ist derzeit nicht verfügbar. Dennoch sind bislang keine Fälle bekannt, bei denen die Sicherheitslücke in der Realität ausgenutzt wurde.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden
Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier