ESP32 – Con chip rẻ tiền nhưng tiềm ẩn rủi ro lớn cho thiết bị IoT
Tarlogic (Tây Ban Nha) phát hiện chip ESP32 chứa một lệnh ẩn được mã hóa, có thể bị tin tặc khai thác để mạo danh thiết bị hợp pháp và truy cập vào dữ liệu lưu trữ. Từ đó, kẻ xấu dễ dàng theo dõi, chiếm quyền điều khiển hoặc tấn công vào các thiết bị nhạy cảm như điện thoại, máy tính, khóa thông minh và thiết bị y tế.
Theo Tarlogic, có đến 29 “chức năng ẩn” trong chip ESP32, mở ra nguy cơ cho các cuộc tấn công từ xa thông qua phần mềm độc hại hoặc Bluetooth giả mạo. Ngoài ra, lỗ hổng còn có thể bị lợi dụng ở cấp độ nhà sản xuất (OEM), ảnh hưởng đến toàn bộ chuỗi cung ứng thiết bị. Công ty này cũng đã phát triển một công cụ chuyên dụng để phát hiện và kiểm tra các lỗ hổng trên chip.
Chip Bluetooth ESP32. Ảnh: Espressif
ESP32 là dòng vi điều khiển giá rẻ, tiêu thụ điện năng thấp, hỗ trợ Wi-Fi và Bluetooth được sử dụng phổ biến trong thiết bị IoT như camera, loa thông minh, khóa cửa, thiết bị đeo tay. Tính đến năm 2023, đã có hơn một tỷ chip ESP32 được bán ra toàn cầu với mức giá chỉ khoảng 2 USD mỗi chiếc. Chính sự phổ biến và giá thành thấp khiến chip này được nhiều hãng lựa chọn nhưng cũng tiềm ẩn nhiều rủi ro bảo mật.
Trước thông tin từ Tarlogic, ngày 10/3, đại diện Espressif xác nhận các lệnh ẩn là “lệnh gỡ lỗi nội bộ phục vụ thử nghiệm” nhưng không đưa ra thêm giải thích hay phương án khắc phục. Việc Espressif chưa có phản hồi cụ thể càng khiến cộng đồng công nghệ lo ngại về những lỗ hổng có thể bị khai thác trên quy mô lớn nếu không sớm được xử lý.
Danh mục
Tin liên quan
