El microchip ESP32 fabricado por el chino Espressif y utilizado por más de mil millones de unidades en 2023 contiene comandos no documentados que podrían utilizarse para realizar ataques. Permiten la suplantación de dispositivos confiables, el acceso no autorizado a datos, el cambio a otros dispositivos en la red y, potencialmente, el establecimiento de una persistencia a largo plazo. Así lo descubrieron, según Bleeping Computer que recoge HST, los investigadores españoles Miguel Tarascó Acuña y Antonio Vázquez Blanco, de Tarlogic Security.

"Tarlogic Security ha detectado una puerta trasera en el ESP32, un microcontrolador que permite la conexión WiFi y Bluetooth y está presente en millones de dispositivos IoT del mercado masivo", se lee en un anuncio de Tarlogic compartido con BleepingComputer.

La explotación de esta puerta trasera permitiría a actores hostiles realizar ataques de suplantación de identidad e infectar permanentemente dispositivos sensibles como teléfonos móviles, computadoras, cerraduras inteligentes o equipos médicos, eludiendo los controles de auditoría de código.

Los investigadores advirtieron que ESP32 es uno de los chips más utilizados del mundo para conectividad Wi-Fi + Bluetooth en dispositivos IoT (Internet de las cosas), por lo que el riesgo es significativo.

Tarlogic desarrolló un nuevo controlador Bluetooth USB basado en C que es independiente del hardware y multiplataforma, lo que permite el acceso directo al hardware sin depender de las API específicas del sistema operativo. Armado con esta nueva herramienta, que permite el acceso sin procesar al tráfico Bluetooth, Tarlogic descubrió comandos ocultos específicos del proveedor (Opcode 0x3F) en el firmware Bluetooth ESP32 que permiten un control de bajo nivel sobre las funciones Bluetooth.

En total, encontraron 29 comandos no documentados, caracterizados colectivamente como una "puerta trasera", que podrían usarse para manipular la memoria (leer/escribir RAM y Flash), suplantar direcciones MAC (suplantación de dispositivos) e inyección de paquetes LMP/LLCP.

BleepingComputer se puso en contacto con Espressif para solicitar una declaración sobre los hallazgos de los investigadores, pero no hubo comentarios disponibles de inmediato. Más adelante, indicó que los comandos no documentados son comandos de depuración utilizados para pruebas internas.

Estos comandos de depuración forman parte de la implementación de Espressif del protocolo HCI (Interfaz de controlador de host) utilizado en la tecnología Bluetooth. Este protocolo se utiliza internamente en un producto para la comunicación entre capas Bluetooth. A pesar del bajo riesgo, el proveedor afirmó que eliminará los comandos de depuración en una futura actualización de software.