Специалисты испанской компании Tarlogic Security сделали важное открытие. В распространенном микроконтроллере «ESP32», который используется более чем в миллиарде устройств, были обнаружены скрытые команды, передает ФедералПресс.
Эти команды потенциально могут быть использованы злонамеренными элементами для атаки на системы. С их помощью злоумышленники способны имитировать доверенные устройства, получать несанкционированный доступ к информации. Также существует вероятность проникновения в другие устройства внутри сети и долгосрочного закрепления в системе. Информация об этом открытии была доведена до общественности на конференции RootedCON в Мадриде.
В результате исследования выявлено 29 скрытых команд. Эти команды дают возможность манипулировать памятью микрочипа, менять MAC-адреса и внедрять пакеты данных в Bluetooth-соединения. Вопрос остается открытым: были ли эти функции заложены намеренно или это следствие ошибки. Сообщение о проблеме получило идентификатор CVE-2025-27840. Использование обнаруженных функций может привести к атакам на уровне поставщиков и также к взлому устройств через вредоносное ПО или уязвимые подключения Bluetooth.
Производитель ESP32, компания Espressif, уже отреагировала на открытие. Они заявили, что найденные функции не представляют собой значительной угрозы безопасности, но обещали удалить их в будущих обновлениях ПО. Тем не менее, исследователи предупреждают о возможности внедрения сложных постоянных угроз (APT), а также контроля над устройствами посредством Wi-Fi или Bluetooth. Это может привести к распространению атак на другие системы.
Эксперт РОЦИТ Алексей Трифонов выделил важность контроля за кодом и микросхемами для обеспечения должного уровня безопасности. Он отметил, что уязвимости и бэкдоры могут быть внедрены не только в аппаратное обеспечение, но и в операционные системы, облачные сервисы, мессенджеры и социальные сети. Трифонов высказал мнение, что Россия делает правильные шаги в направлении импортозамещения. Это, по его мнению, обеспечит в будущем технологическую независимость от западных решений.
