Lỗ hổng bảo mật trong chip ESP32 đe dọa hàng triệu thiết bị IoT

byHuyen Seatek 2 min read
0

Một lỗ hổng bảo mật nghiêm trọng trong chip ESP32 của Espressif (Trung Quốc) đang thu hút sự quan tâm, do có thể bị hacker khai thác để tấn công mạng và đánh cắp thông tin trên hàng triệu thiết bị IoT.

Lệnh ẩn trong chip ESP32 và nguy cơ bảo mật

Công ty an ninh mạng Tarlogic (Tây Ban Nha) phát hiện một lệnh ẩn được mã hóa trong chip ESP32, cho phép tin tặc giả mạo các thiết bị đáng tin cậy để truy cập dữ liệu. Việc khai thác lỗ hổng này có thể dẫn đến nguy cơ do thám người dùng hoặc thực hiện các hành vi tấn công mạng tinh vi.

"Lỗ hổng này có thể bị lợi dụng để thực hiện các cuộc tấn công mạo danh vào thiết bị nhạy cảm như điện thoại, máy tính, khóa thông minh hoặc thiết bị y tế, bằng cách vượt qua các cơ chế xác thực", đại diện Tarlogic cảnh báo.

Mối đe dọa từ các lệnh ẩn trong chip ESP32

Theo nhóm nghiên cứu, các lệnh ẩn trong chip ESP32 có thể gây ra nhiều rủi ro như:

  • Tấn công chuỗi cung ứng: Hacker có thể chèn phần mềm độc hại ngay từ giai đoạn sản xuất (OEM).
  • Bluetooth giả mạo: Kẻ xấu có thể giả danh thiết bị hợp pháp để truy cập thông tin quan trọng.
  • Điều khiển thiết bị từ xa: Một số chức năng ẩn có thể cho phép hacker thao túng thiết bị IoT.

Tarlogic đã phát triển công cụ kiểm tra Bluetooth nhằm phát hiện và đánh giá mức độ nguy hiểm của lỗ hổng. Công ty xác định có tới 29 "chức năng ẩn" trên chip ESP32 có thể bị khai thác.

Chip Bluetooth ESP32. Ảnh: Espressif

ESP32 – Con chip phổ biến trong thế giới IoT

ESP32 là bộ vi điều khiển tiết kiệm năng lượng, hỗ trợ cả Wi-Fi và Bluetooth, sử dụng bộ xử lý Tensilica Xtensa LX6 với các biến thể lõi đơn và lõi kép. Chip này được tích hợp sẵn ăng-ten, bộ khuếch đại công suất và mô-đun quản lý năng lượng.

Theo Espressif, hơn một tỷ chip ESP32 đã được bán ra trên toàn cầu, với hàng triệu thiết bị IoT đang sử dụng. Do mức giá rẻ khoảng 2 USD, ESP32 được nhiều nhà sản xuất lựa chọn thay vì các giải pháp cao cấp hơn.

Espressif phản hồi về lỗ hổng bảo mật

Ngày 10/3, Espressif lên tiếng cho biết các lệnh ẩn được phát hiện thực chất là "lệnh gỡ lỗi nội bộ" phục vụ quá trình thử nghiệm. Tuy nhiên, công ty không đưa ra bình luận chi tiết về khả năng hacker có thể khai thác lỗ hổng này.

Kết luận

Lỗ hổng bảo mật trong chip ESP32 là một vấn đề nghiêm trọng, có thể ảnh hưởng đến hàng triệu thiết bị IoT trên toàn cầu. Các chuyên gia khuyến nghị người dùng cập nhật phần mềm thường xuyên và thực hiện các biện pháp bảo mật nhằm giảm thiểu rủi ro bị tấn công.

 

4.94 / 169 rates

Đăng nhận xét

Mới hơn Cũ hơn