Nicht dokumentierte Backdoor in Bluetooth-Chip entdeckt, der in Milliarden Geräten verwendet wird

 (bleepingcomputer.com)
3 Punkte von GN⁺ 2025-03-09 | 1 Kommentare | Auf WhatsApp teilen

Backdoor in Bluetooth-Chip entdeckt

  • Backdoor im ESP32-Chip: Im ESP32-Mikrochip des chinesischen Herstellers Espressif wurde eine nicht dokumentierte „Backdoor“ entdeckt. Der Chip wird Stand 2023 in mehr als einer Milliarde Geräten eingesetzt. Die Backdoor kann vertrauenswürdige Geräte spoofen, unbefugten Datenzugriff ermöglichen, sich auf andere Geräte im Netzwerk ausbreiten oder langfristige Persistenz etablieren.

  • Hintergrund der Entdeckung: Die spanischen Forscher Miguel Tarascó Acuña und Antonio Vázquez Blanco entdeckten diese Backdoor und stellten sie auf der RootedCON in Madrid vor. Die Backdoor kann sensible Geräte wie Mobiltelefone, Computer, smarte Schlösser und medizinische Geräte dauerhaft infizieren.

Backdoor auf dem ESP32 entdeckt

  • Bluetooth-Sicherheitsforschung: Das Interesse an Bluetooth-Sicherheitsforschung ist zurückgegangen, aber nicht, weil das Protokoll oder seine Implementierungen sicherer geworden wären. Die meisten Angriffe scheitern daran, dass es keine funktionierenden Tools gibt oder nur alte Werkzeuge verwendet werden, die nicht mit gängiger Hardware oder modernen Systemen kompatibel sind.

  • Entwicklung neuer Tools: Tarlogic entwickelte einen neuen hardwareunabhängigen, plattformübergreifenden USB-Bluetooth-Treiber auf C-Basis, der direkten Zugriff auf die Hardware ermöglicht, ohne auf betriebssystemspezifische APIs angewiesen zu sein. Dadurch wurden in der Bluetooth-Firmware des ESP32 versteckte herstellerspezifische Befehle (Opcode 0x3F) entdeckt.

  • Entdeckte Befehle: Insgesamt wurden 29 nicht dokumentierte Befehle gefunden, die für Speicher-Manipulationen (RAM und Flash lesen/schreiben), MAC-Adress-Spoofing (Geräte-Spoofing) und die Injektion von LMP-/LLCP-Paketen genutzt werden können.

  • Risiken: Diese Befehle könnten bösartige Implementierungen auf OEM-Ebene und Supply-Chain-Angriffe ermöglichen. Besonders brisant ist dies, wenn ein Angreifer bereits Root-Zugriff hat, bösartige Firmware eingeschleust oder schädliche Updates verteilt hat und die Backdoor dadurch aus der Ferne ausnutzen kann.

  • Risiko physischen Zugriffs: Im Allgemeinen ist physischer Zugriff auf die USB- oder UART-Schnittstelle eines Geräts das gefährlichere und realistischere Angriffsszenario.

  • Erläuterung der Forscher: Die Forscher erklärten, dass sie die vollständige Kontrolle über den ESP32-Chip erlangen konnten und über Befehle zur Änderung von RAM und Flash Persistenz auf dem Chip erreichen konnten, mit potenzieller Ausbreitung auf andere Geräte.

  • Reaktion von Espressif: BleepingComputer bat Espressif um eine Stellungnahme zu den Forschungsergebnissen, erhielt jedoch zunächst keine Antwort.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-09
Hacker-News-Kommentare

  • Der Titel kann irreführend sein. Die „Backdoor“ scheint es zu ermöglichen, den Speicher des eigenen USB-Bluetooth-Adapters und andere Low-Level-Funktionen einzusehen und zu manipulieren. Sie ist nicht drahtlos nutzbar.

    • Undokumentierte Debug-Befehle sind üblich. Ich habe ähnliche Funktionen schon bei WiFi-Adaptern und GPS-Empfängern gefunden. Entdeckt wurden sie durch Reverse Engineering der Chip-Firmware oder der Vendor-Treiber. Für sich genommen ist das kein großes Problem. Unsignierte Firmware zuzulassen ist in gleicher Weise verwundbar.
    • Falls diese Funktion von außerhalb des Hosts nutzbar wäre, wäre das eine ganz andere Geschichte.

  • Die Forschenden haben eine undokumentierte Hardware-Funktion entdeckt, die Low-Level-Zugriff auf den ESP32-WiFi-Stack erlaubt.

    • Das als „Backdoor“ zu bezeichnen, ist bloßer Clickbait.

  • Diese Überschrift ist falsch. Eine Backdoor in einem Bluetooth-Chip würde einem drahtlosen Angreifer ermöglichen, Code auf dem Chip auszuführen. Dieser Artikel berichtet, dass der Treiber des verbundenen Geräts Code auf dem Chip ausführen kann. Das durchbricht keine Sicherheitsgrenze.

    • In einem funktionierenden journalistischen Ökosystem wäre ein Widerruf nötig, und es würde dem Ruf des Mediums, das das geschrieben hat, erheblich schaden. Aber das wird nicht passieren.

  • Ich bin verwirrt, ob es einfach ein paar undokumentierte Befehle im Bluetooth-Stack gibt. Wenn das nur für Code zugänglich ist, der bereits auf dem Gerät läuft, würde ich das nicht als Backdoor bezeichnen.

  • Theoretisch sollte man Low-Level-Zugriff auf das angeschlossene BT-Radio selbst haben. Das ist zu erwarten.

    • Ich bevorzuge es sogar, wenn Geräte solche Low-Level-Schnittstellen haben. Das Problem könnte weniger ihre Existenz als vielmehr die fehlende Dokumentation sein.
    • Ich habe bei Qualcomm-Funkmodulen per USB Speicher-Lese-/Schreibbefehle genutzt, um gesperrte Geräte zu entsperren und in Besitz zu nehmen. Das war nicht ideal, weil es vollständiges OOB-Lesen/Schreiben war, aber wenn das nur aus geflashtem Code heraus zugänglich wäre, wäre es besser.

  • Gute Forschung, aber schlechte Überschrift. Als Angriffsvektor ist physischer Zugriff nötig, und in fast allen Fällen ist das ohnehin schon auf anderem Weg möglich. „Undokumentierte Befehle in verbreiteten Bluetooth-Chips gefunden“ wäre die bessere Überschrift.

  • TL;DR: Durch Reverse Engineering der Firmware wurden HCI-Befehle zum Lesen/Schreiben von Speicher, zum Senden von Paketen, zum Setzen der MAC-Adresse usw. gefunden.

    • Tatsächlich keine Backdoor. Ich weiß nicht, ob sie es selbst so genannt haben (die Präsentation ist auf Spanisch) oder ob Journalisten es zur Klickgenerierung als Backdoor bezeichnet haben.
    • Um HCI-Befehle an das Gerät zu senden, braucht man beliebigen Zugriff. Das bedeutet, man kontrolliert das Gerät bereits. Es ist keine per Funkverbindung aus der Ferne ausnutzbare Schwachstelle. Alle Exploits setzen ohnehin schon volle Kontrolle über das Gerät voraus, und an diesem Punkt ist es nicht überraschend, die MAC-Adresse zu ändern oder Pakete zu senden.
    • Interessante Forschung, aber es ist wirklich enttäuschend, sie als „Backdoor“ verpackt zu sehen. Ich weiß nicht, wer für diese Formulierung verantwortlich ist. Vermutlich die Journalisten.

  • Alle finden es okay, undurchsichtige binäre Blob-Treiber, die im Kernel-Space laufen, auf Desktops und Laptops zu installieren, und nicht einmal Root-Zugriff auf ihre Cloud-gesteuerten Telefone zu haben, aber undokumentierte Low-Level-ESP32-Befehle, die nur nutzbar sind, wenn das Gerät bereits kompromittiert ist, sind ein bedrohlicher Angriffsvektor mit Nachrichtenwert.

    • Ich frage mich, ob bei der Übersetzung etwas schiefgelaufen ist. Früher hätte man das cool gefunden und nach Wegen gesucht, es in ein SDR umzuwandeln.