พบแบ็กดอร์ที่ไม่ได้เปิดเผยในชิป Bluetooth ที่ใช้ในอุปกรณ์นับพันล้านเครื่อง

 (bleepingcomputer.com)
3 คะแนน โดย GN⁺ 2025-03-09 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ค้นพบแบ็กดอร์ในชิป Bluetooth

  • แบ็กดอร์ในชิป ESP32: พบ "แบ็กดอร์" ที่ไม่มีการบันทึกเอกสารไว้ในไมโครชิป ESP32 ของผู้ผลิตจีน Espressif โดยชิปนี้ถูกใช้งานในอุปกรณ์มากกว่า 1 พันล้านชิ้น ณ ปี 2023 แบ็กดอร์ดังกล่าวสามารถปลอมตัวเป็นอุปกรณ์ที่เชื่อถือได้ อนุญาตให้เข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เคลื่อนย้ายไปยังอุปกรณ์อื่นในเครือข่าย หรือสร้างการคงอยู่ระยะยาวได้

  • ที่มาของการค้นพบ: นักวิจัยชาวสเปน Miguel Tarascó Acuña และ Antonio Vázquez Blanco เป็นผู้ค้นพบแบ็กดอร์นี้และนำเสนอที่งาน RootedCON ในกรุงมาดริด แบ็กดอร์นี้อาจทำให้อุปกรณ์ที่มีความอ่อนไหว เช่น โทรศัพท์มือถือ คอมพิวเตอร์ สมาร์ตล็อก และอุปกรณ์ทางการแพทย์ ติดเชื้ออย่างถาวรได้

พบแบ็กดอร์ใน ESP32

  • งานวิจัยด้านความปลอดภัยของบลูทูธ: แม้ความสนใจต่อการวิจัยด้านความปลอดภัยของบลูทูธจะลดลง แต่ไม่ได้หมายความว่าโปรโตคอลหรือการใช้งานจะปลอดภัยมากขึ้น เพียงแต่การโจมตีส่วนใหญ่ไม่มีเครื่องมือที่ใช้งานได้จริง หรือใช้เครื่องมือเก่าที่ไม่รองรับฮาร์ดแวร์ทั่วไปและไม่เข้ากับระบบสมัยใหม่

  • การพัฒนาเครื่องมือใหม่: Tarlogic ได้พัฒนาไดรเวอร์ USB Bluetooth แบบใหม่ที่เขียนด้วยภาษา C ซึ่งไม่ขึ้นกับฮาร์ดแวร์และทำงานข้ามแพลตฟอร์ม ช่วยให้เข้าถึงฮาร์ดแวร์ได้โดยตรงโดยไม่ต้องพึ่งพา API เฉพาะของระบบปฏิบัติการ จากนั้นจึงค้นพบคำสั่งเฉพาะผู้ผลิตที่ถูกซ่อนไว้ (Opcode 0x3F) ในเฟิร์มแวร์ Bluetooth ของ ESP32

  • คำสั่งที่ค้นพบ: พบคำสั่งที่ไม่มีการบันทึกเอกสารไว้ทั้งหมด 29 รายการ ซึ่งสามารถใช้กับการจัดการหน่วยความจำ (อ่าน/เขียน RAM และ Flash), การปลอมแปลงที่อยู่ MAC (การปลอมอุปกรณ์), และการฉีดแพ็กเก็ต LMP/LLCP

  • ความเสี่ยง: คำสั่งเหล่านี้อาจนำไปสู่การฝังการทำงานอันตรายในระดับ OEM และการโจมตีซัพพลายเชน โดยเฉพาะเมื่อผู้โจมตีมีสิทธิ์เข้าถึงระดับ root อยู่แล้ว หรือสามารถฝังเฟิร์มแวร์อันตรายหรือส่งอัปเดตอันตรายได้ ก็อาจใช้แบ็กดอร์นี้จากระยะไกลได้

  • ความเสี่ยงจากการเข้าถึงทางกายภาพ: โดยทั่วไป การเข้าถึงพอร์ต USB หรือ UART ของอุปกรณ์โดยตรงทางกายภาพเป็นสถานการณ์โจมตีที่ทั้งอันตรายกว่าและเกิดขึ้นได้จริงมากกว่า

  • คำอธิบายจากนักวิจัย: นักวิจัยอธิบายว่าสามารถควบคุมชิป ESP32 ได้อย่างสมบูรณ์ และใช้คำสั่งแก้ไข RAM และ Flash เพื่อสร้างการคงอยู่ในชิป รวมถึงมีความเป็นไปได้ที่จะแพร่กระจายไปยังอุปกรณ์อื่น

  • การตอบสนองของ Espressif: BleepingComputer ได้ขอความเห็นจาก Espressif ต่อผลการวิจัยดังกล่าว แต่ยังไม่ได้รับคำตอบในทันที

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-03-09
ความคิดเห็นจาก Hacker News

  • พาดหัวอาจทำให้เข้าใจผิดได้ คำว่า "แบ็กดอร์" ดูเหมือนจะหมายถึงความสามารถในการสอดดูและจัดการหน่วยความจำกับฟังก์ชันระดับต่ำอื่น ๆ ของอะแดปเตอร์ Bluetooth แบบ USB ของตัวเอง ไม่ได้ใช้งานได้ผ่านเครือข่ายไร้สาย

    • คำสั่งดีบักที่ไม่ถูกบันทึกไว้เป็นเรื่องที่พบได้บ่อย เคยเจอฟังก์ชันคล้ายกันในอะแดปเตอร์ WiFi และตัวรับ GPS โดยค้นพบจากการทำวิศวกรรมย้อนกลับเฟิร์มแวร์ของชิปหรือไดรเวอร์ของผู้ผลิต โดยตัวมันเองไม่ได้เป็นปัญหาใหญ่อะไร การยอมให้ใช้เฟิร์มแวร์ที่ไม่ได้เซ็นรับรองก็มีความเปราะบางในลักษณะเดียวกัน
    • ถ้าฟังก์ชันนี้ใช้งานได้จากภายนอกโฮสต์ นั่นจะเป็นอีกเรื่องหนึ่งเลย

  • นักวิจัยพบฟังก์ชันฮาร์ดแวร์ที่ไม่ถูกบันทึกไว้ ซึ่งอนุญาตให้เข้าถึงสแตก WiFi ของ ESP32 ในระดับต่ำ

    • การเรียกสิ่งนี้ว่า "แบ็กดอร์" เป็นแค่การล่อคลิก

  • พาดหัวนี้ไม่จริง แบ็กดอร์ในชิป Bluetooth หมายถึงผู้โจมตีผ่านเครือข่ายไร้สายสามารถรันโค้ดบนชิปได้ แต่บทความนี้รายงานว่าไดรเวอร์ของอุปกรณ์ที่เชื่อมต่ออยู่สามารถรันโค้ดบนชิปได้ ซึ่งไม่ได้ละเมิดขอบเขตความปลอดภัย

    • ในระบบนิเวศสื่อสารมวลชนที่ทำงานได้ดี เรื่องนี้ควรถูกถอนและจะสร้างความเสียหายอย่างมากต่อชื่อเสียงของสื่อที่เขียนมัน แต่ก็คงไม่เกิดขึ้น

  • ยังสับสนอยู่ว่านี่แค่มีคำสั่งที่ไม่ถูกบันทึกไว้บางคำสั่งในสแตก Bluetooth หรือไม่ ถ้าสิ่งนี้เข้าถึงได้เฉพาะจากโค้ดที่กำลังรันอยู่บนอุปกรณ์อยู่แล้ว ฉันจะไม่เรียกมันว่าแบ็กดอร์

  • ในทางทฤษฎีควรต้องมีการเข้าถึงวิทยุ BT ที่เชื่อมต่ออยู่ในระดับต่ำ ซึ่งเป็นสิ่งที่คาดหมายได้

    • ฉันชอบให้อุปกรณ์มีอินเทอร์เฟซระดับต่ำแบบนี้ ปัญหาอาจไม่ใช่การมีอยู่ของมัน แต่เป็นการขาดเอกสารกำกับมากกว่า
    • ฉันเคยปลดล็อกอุปกรณ์ที่ถูกล็อกและได้สิทธิ์ความเป็นเจ้าของ โดยใช้คำสั่งอ่าน/เขียนหน่วยความจำผ่าน USB บนวิทยุ Qualcomm นี่อาจไม่ดีนักเพราะมันเป็นการอ่าน/เขียน OOB แบบเต็มรูปแบบ แต่ถ้าสิ่งนี้เข้าถึงได้จากโค้ดที่แฟลชลงไปเท่านั้นก็คงดีกว่า

  • เป็นงานวิจัยที่ดี แต่เป็นพาดหัวที่แย่ ในฐานะเวกเตอร์การโจมตี มันต้องการการเข้าถึงทางกายภาพ และในแทบทุกกรณีก็ทำได้อยู่แล้วด้วยวิธีอื่น พาดหัวแบบ "พบคำสั่งที่ไม่ถูกบันทึกไว้ในชิป Bluetooth ทั่วไป" น่าจะดีกว่า

  • TL;DR: ทำวิศวกรรมย้อนกลับเฟิร์มแวร์แล้วพบคำสั่ง HCI สำหรับอ่าน/เขียนหน่วยความจำ ส่งแพ็กเก็ต ตั้งค่า MAC address เป็นต้น

    • มันไม่ใช่แบ็กดอร์จริง ๆ ไม่แน่ใจว่าพวกเขาเรียกมันว่าแบ็กดอร์เองหรือไม่ (งานนำเสนอเป็นภาษาสเปน) หรือว่านักข่าวเป็นคนเรียกแบบนั้นเพื่อเรียกคลิก
    • การจะส่งคำสั่ง HCI ไปยังอุปกรณ์ต้องมีการเข้าถึงตามอำเภอใจอยู่แล้ว ซึ่งหมายความว่าคุณควบคุมอุปกรณ์นั้นอยู่แล้ว ไม่ใช่การโจมตีจากระยะไกลผ่านลิงก์ไร้สาย เอ็กซ์พลอยต์ทั้งหมดต้องอาศัยการควบคุมอุปกรณ์อย่างสมบูรณ์อยู่ก่อนแล้ว และเมื่อถึงจุดนั้น การเปลี่ยน MAC address หรือส่งแพ็กเก็ตก็ไม่ใช่เรื่องน่าแปลกใจ
    • เป็นงานวิจัยที่น่าสนใจ แต่การเห็นมันถูกห่อด้วยคำว่า "แบ็กดอร์" น่าผิดหวังจริง ๆ ไม่รู้ว่าใครต้องรับผิดชอบกับถ้อยคำนี้ น่าจะเป็นพวกนักข่าว

  • ทุกคนดูจะโอเคกับการติดตั้งไดรเวอร์ binary blob แบบปิดทึบที่รันใน kernel space ลงบนเดสก์ท็อปและแล็ปท็อปของตัวเอง และยังไม่สามารถแม้แต่จะได้สิทธิ์ root บนโทรศัพท์ที่ถูกควบคุมโดยคลาวด์ของตัวเอง แต่คำสั่ง ESP32 ระดับต่ำที่ไม่ถูกบันทึกไว้และใช้ได้เฉพาะเมื่ออุปกรณ์ถูกเจาะไปแล้วกลับกลายเป็นเวกเตอร์ภัยคุกคามที่มีคุณค่าพอเป็นข่าว

    • สงสัยว่ามีอะไรผิดพลาดระหว่างการแปลหรือเปล่า ในอดีตฉันคงคิดว่านี่เท่มากและพยายามหาวิธีแปลงมันให้เป็น SDR