Odborníci odhalili bezpečnostné riziko, ktoré môže ohroziť zariadenia s čipmi ESP32 používanými v širokej škále produktov. Aj keď ide o vážnu hrozbu, odborníci tvrdia, že panika nie je na mieste. Stačí dodržiavať základné kybernetické opatrenia.
Aké zariadenia sú ohrozené?
Experti z tímu Tarlogic odhalili, že populárne čipy ESP32, ktoré sú v súčasnosti používané v miliónoch zariadení po celom svete, obsahujú doteraz nezdokumentovanú zraniteľnosť, ktorá môže byť zneužitá na vzdialený prístup a manipuláciu so zariadeniami. Na tento problém upozornil aj Národný bezpečnostný úrad (NBÚ) na svojej webovej stránke.
Tieto čipy vyrába čínska spoločnosť Espressif a sú bežne používané na zabezpečenie Bluetooth a WiFi pripojenia v rôznych zariadeniach internetu vecí (IoT), ako sú mobilné telefóny, zdravotnícke prístroje, herné konzoly, termostaty, laptopy, športové náramky či riadiace a monitorovacie systémy.
Aký je problém?
Hlavné bezpečnostné riziko tejto nezdokumentovanej funkcionality spočíva v tom, že umožňuje útočníkovi získať prístup do pamäti zariadenia, upravovať ju a manipulovať s pripojením Bluetooth. Tento problém môže viesť k pokusom o krádež identity, obchádzaniu bezpečnostných auditov, trvalým zmenám v správaní zariadenia a dokonca k útokom na iné zariadenia v blízkosti.
Národný bezpečnostný úrad (NBÚ) upozornil, že podobná zraniteľnosť bola v minulosti zneužitá na prienik do zariadení, ako napríklad do vozidiel Tesla Model 3.
Pozitívnou správou je, že táto funkcionalita nemôže byť zneužitá samostatne. Útočník by musel využiť ďalšiu zraniteľnosť v zariadení na úspešné kompromitovanie. Bezpečnostní experti tvrdia, že by bol potrebný priamy fyzický prístup k zariadeniu alebo iniciálny zásah do firmvéru spoločnosti Espressif.
Túto informáciu potvrdil aj samotný výrobca, ktorý uviedol, že nezdokumentované príkazy sú určené na interné debuggovanie (odstraňovanie chýb). Dodal však, že ich použitie je výhradne pre interné účely a na vykonanie týchto príkazov je potrebný prístup k firmvéru ESP32. Útočníci by teda museli najprv získať prístup do ich systémov, aby následne mohli túto funkcionalitu zneužiť.
Problém sa týka len pôvodných čipov ESP32, novšie verzie ako ESP32-C, ESP32-H či ESP32-S nie sú ovplyvnené. Napriek tomu spoločnosť sľúbila, že aktualizuje svoj firmvér a vyjadrila sa, že náprava príde, avšak doteraz k nej nedošlo.
Oficiálne bola tejto funkcionalite priradená stredná miera bezpečnostného rizika a v americkej databáze kybernetických zraniteľností bola označená ako CVE-2025-27840. NBÚ ju tiež považuje za potenciálne bezpečnostné riziko.
Ako sa chrániť?
Aj keď záplata na toto riziko ešte neexistuje, keďže ide o nezdokumentovanú funkcionalitu, NBÚ odporúča dodržiavať základné pravidlá kybernetickej bezpečnosti, ktoré sú uvedené v jeho varovaní.
