数十億台の機器で使われたBluetoothチップで未登録のバックドアが発見

 (bleepingcomputer.com)
3 ポイント 投稿者 GN⁺ 2025-03-09 | 1件のコメント | WhatsAppで共有

Bluetoothチップのバックドア発見

  • ESP32チップのバックドア: 中国メーカーEspressifのESP32マイクロチップで、文書化されていない「バックドア」が発見された。このチップは2023年時点で10億台を超えるデバイスに使用されている。バックドアは信頼されたデバイスをスプーフィングし、無断のデータアクセスを許可し、ネットワーク内の他のデバイスへ移動したり、長期的な永続性を確立したりできる。

  • 発見の経緯: スペインの研究者Miguel Tarascó Acuña氏とAntonio Vázquez Blanco氏がこのバックドアを発見し、マドリードのRootedCONで発表した。このバックドアは、携帯電話、コンピューター、スマートロック、医療機器などの機微なデバイスに永続的に感染させる可能性がある。

ESP32でバックドア発見

  • Bluetoothセキュリティ研究: Bluetoothセキュリティ研究への関心は薄れているが、それはプロトコルや実装がより安全になったためではない。ほとんどの攻撃は、動作するツールが存在しないか、一般的なハードウェアと互換性がないか、現代のシステムに対応しない古いツールを使っている。

  • 新しいツールの開発: Tarlogicは、ハードウェア非依存かつクロスプラットフォームの新しいCベースUSB Bluetoothドライバーを開発し、OS固有のAPIに依存せずハードウェアへ直接アクセスできるようにした。これにより、ESP32 Bluetoothファームウェア内に隠されていたベンダー固有コマンド(Opcode 0x3F)を発見した。

  • 発見されたコマンド: 合計29個の文書化されていないコマンドが見つかり、これはメモリ操作(RAMおよびFlashの読み書き)、MACアドレスのスプーフィング(デバイスのなりすまし)、LMP/LLCPパケット注入に使用できる。

  • 危険性: これらのコマンドにより、OEMレベルでの悪意ある実装やサプライチェーン攻撃が発生する可能性がある。特に、攻撃者がすでにroot権限を持っている場合、悪意あるファームウェアを仕込んだ場合、あるいは悪意ある更新を配信した場合には、バックドアを遠隔で悪用できる。

  • 物理的アクセスの危険性: 一般的には、デバイスのUSBまたはUARTインターフェースに物理的にアクセスすることの方が、より危険で現実的な攻撃シナリオである。

  • 研究者の説明: 研究者らは、ESP32チップを完全に制御し、RAMおよびFlash改変コマンドを通じてチップ上で永続性を得られ、他のデバイスへ拡散する可能性があると説明している。

  • Espressifの反応: BleepingComputerは研究結果に対するEspressifの見解を求めたが、すぐには回答を得られなかった。

関連記事

1件のコメント

 
GN⁺ 2025-03-09
Hacker Newsの意見

  • タイトルは誤解を招く可能性がある。"バックドア"とは、自分のUSB Bluetoothアダプターのメモリやその他の低レベル機能をのぞき見して操作できるようにするもののようだ。無線経由で利用できるものではない

    • 文書化されていないデバッグコマンドはよくある。WiFiアダプターやGPS受信機で同様の機能を見つけた経験がある。これはチップのファームウェアやベンダードライバーをリバースエンジニアリングして発見されたものだ。それ自体は大きな問題ではない。署名されていないファームウェアを許可することも同様に脆弱だ
    • もしこの機能がホストの外部から利用可能なら、それはまったく別の話になる

  • 研究者たちは、ESP32 WiFiスタックへの低レベルアクセスを可能にする文書化されていないハードウェア機能を発見した

    • これを"バックドア"と呼ぶのは単なるクリックベイトだ

  • この見出しは誤りだ。Bluetoothチップのバックドアとは、無線の攻撃者がチップ上でコード実行できるようにするものを指す。この記事が報じているのは、接続されたデバイスのドライバーがチップ上でコード実行できるようにすることだ。これはセキュリティ境界を破っていない

    • まともに機能するジャーナリズムのエコシステムなら訂正が必要で、これを書いた媒体の評判に大きな損害を与えるはずだ。しかし、そうはならないだろう

  • Bluetoothスタックにいくつか文書化されていないコマンドがあるという話なのか混乱している。もしこれがすでにデバイス上で実行中のコードからしかアクセスできないなら、これをバックドアとは呼ばないだろう

  • 理論上は、接続されたBT無線機そのものに低レベルアクセスできる必要がある。これは想定どおりだ

    • デバイスにこうした低レベルインターフェースがある方が望ましい。問題は存在そのものより、文書化不足かもしれない
    • Qualcommの無線機で、USB経由のメモリ読み書きコマンドを使ってロックされたデバイスを解除し、所有権を取得したことがある。これは完全なOOB読み書きだったので好ましくないかもしれないが、もしフラッシュされたコードからしかアクセスできないなら、まだましだろう

  • 良い研究だが、見出しは悪い。攻撃ベクターとして物理アクセスが必要で、ほぼすべての場合において他の方法でもすでに実行可能だ。"一般的なBluetoothチップで文書化されていないコマンドが発見された"の方がより良い見出しだろう

  • TL;DR: ファームウェアをリバースエンジニアリングして、メモリ読み書き、パケット送信、MACアドレス設定などのHCIコマンドを発見した

    • 実際にはバックドアではない。彼ら自身がこれをバックドアと呼んだのか(発表はスペイン語だった)、それとも記者がクリックを稼ぐためにバックドアと呼んだのかはわからない
    • デバイスにHCIコマンドを送るには任意のアクセスが必要だ。つまり、すでにそのデバイスを制御しているということだ。無線リンク経由でリモート悪用されるものではない。あらゆるエクスプロイトは、すでにデバイスの完全な制御を必要とし、その時点でMACアドレスを変更したりパケットを送信したりできても驚くことではない
    • 興味深い研究だが、これが"バックドア"として包装されているのを見るのは本当に残念だ。この表現の責任が誰にあるのかはわからない。おそらく記者たちだろう

  • みんな、カーネル空間で動作する不透明なバイナリブロブドライバーをデスクトップやノートPCにインストールすることや、自分のクラウド管理されたスマートフォンでrootアクセスすら持てないことは平気なのに、すでにデバイスが侵害された状態でしか使えない文書化されていない低レベルのESP32コマンドは、ニュース価値のある脅威ベクターになるのか

    • 翻訳の過程で何かおかしくなったのではないかと思う。以前ならこれはクールだと思って、これをSDRに変える方法を探しただろう