Jakarta, ILLINI NEWS China, Espressif, mengembangkan microchip ESP32 untuk koneksi Wi-Fi dan Bluetooth di internet objek. Misalnya, kulkas yang cerdas, lampu cerdas, pembicara yang cerdas, dll.
Pada tahun 2023, lebih dari satu miliar IoT dilaporkan menyebar ke seluruh dunia dengan ESP32. Sayangnya, ESP32 tampaknya berisi pesanan yang tidak digunakan (pintu belakang) yang mengancam perlindungan pengguna.
Pintu belakang memungkinkan perangkat dipalsukan, akses tidak sah ke informasi, transfer ke peralatan jaringan lain dan memiliki potensi untuk membangun daya tahan jangka panjang.
Peneliti Spanyol Miguel Tarascó Acuña dan Antonio Vázquez Blanco menemukan risiko keamanan tarlogi ini. Mereka mempresentasikan temuan ini di acara RootedCon di Madrid.
“Keamanan Tarlogi telah menemukan pintu belakang di ESP32, yang digunakan dalam jutaan perangkat besar -ot,” kata Tarlogic, dipinjam dari BleepingComputer pada hari Senin (3.10.2025).
“Penggunaan belakang belakang ini memberi pemain yang buruk kesempatan untuk melakukan serangan peningkatan identitas dan menginfeksi perangkat sensitif seperti ponsel, komputer, kunci pintar atau peralatan medis dengan mengatasi kontrol inspeksi kode.”
Para peneliti memperingatkan bahwa ESP32 adalah salah satu chip yang paling banyak digunakan di dunia untuk koneksi Wi-Fi dan Bluetooth secara online, sehingga risikonya penting.
Peneliti Tarlogi menjelaskan dalam presentasinya bahwa minat dalam studi keamanan Bluetooth diturunkan, tetapi bukan karena implementasinya lebih aman.
Sebaliknya, sebagian besar serangan yang ditemukan selama setahun terakhir tidak menjadi peralatan yang canggih, bahkan menggunakan alat yang sudah ketinggalan zaman atau terpelihara. Sebagian besar bahkan tidak kompatibel dengan sistem modern.
Tarlologic mengembangkan Bluetooth Bluetooth Controller baru, terlepas dari peralatan dan silang yang memungkinkan akses langsung ke perangkat keras, terlepas dari antarmuka khusus aplikasi OS.
Dengan alat baru ini, Tarlogic menemukan Bluetooth ESP32, yang memungkinkan fungsi manajemen Bluetooth Bluetooth yang lebih rendah dalam perintah pemasok tersembunyi yang terpisah (Opcode 0x3f).
Secara umum, mereka menemukan 29 pintu belakang yang dapat digunakan untuk pemrosesan memori (RAM dan FAML), alamat MAC (imitasi perangkat) dan injeksi LMP/LLC.
Ekspresif belum secara terbuka mendokumentasikan perintah -perintah ini, sehingga peraturan ini tidak dianggap tersedia atau secara kebetulan. Masalah ini sekarang sedang dipantau pada CVE-2025-27840.
Risiko lain, penjahat basis data dapat menggunakan pintu belakang untuk menanam malware atau memperbarui peralatan berbahaya yang membuka akses tingkat rendah.
BleepingComput telah menghubungi Espressif untuk mencari pengamatan peneliti, tetapi komentar belum tersedia. (FAB/FAB) Tonton video di bawah ini: Video: Ketafe akun keamanan sehingga artikel BT palsu lainnya bukan garis teks.
