Yhteenveto

Kiinalaisen siruvalmistaja Espressifin ESP32-piiristä on löytynyt huolestuttavia ja dokumentoimattomia komentoja, joita on käytössä jopa yli miljardissa erilaista IoT-laitetta. Tämä paljastus oli esillä Bleeping Computerin raportissa.

Löydön esittely

Tietoturvayritys Tarlogic Securityn tutkijat Miguel Tarascó Acuña ja Antonio Vázquez Blanco esittelivät löydöksensä Rootedconissa Madridissa. Heidän mukaansa nämä salaiset komennot mahdollistavat laitteiden esiintymisen luotettavina ja avustavat mahdollisessa pitkäaikaisessa pääsyssä kohdelaitteille. Pelko on, että hyökkääjät voivat jopa käyttää näitä komentoja rikollisiin tarkoituksiin.

CVE-2025-27840

Löydännöille on annettu koodinimi CVE-2025-27840, ja haavoittuvuus on arvioitu kriittisyydeltään keskikokoiseksi (6.8/10). Vaikka se ei ole kaikkein vaarallisimpia, se on silti merkittävä uhka.

Vaarat kuluttajille ja yrityksille

Tarlogic raportoi, että ESP32:sta löydetyt komennot mahdollistavat luvattoman WiFi- ja Bluetooth-yhteyden ottamisen miljooniin markkinoilla oleviin IoT-laitteisiin, aina älyluvuista tietokoneisiin. Tämän vuoksi kuluttajat ja yritykset eri puolilla maailmaa ovat vaarassa, mikä luo merkittävän tarpeen parantaa laitteidensa turvallisuutta.

Bluetooth-riskit ja tutkimus

Tutkijat huomauttavat, että Bluetooth-riskejä ei ole tutkittu yhtä aktiivisesti viime aikoina, jolloin protokolla on muuttunut turvallisemmaksi. Viime vuonna useimpiin esitettyihin hyökkäystapoihin ei löytynyt toimivia työkaluja. Kuitenkin Tarlogic kehitti C-kielellä USB-Bluetooth-ajurin, joka on laite- ja alustariippumaton. Tämä tarkoittaa, että hyökkääjät voivat yhdistää laitteisiin ilman käyttöjärjestelmän vaatimuksia.

Komennot ja manipulointi

Yllättyneinä tutkijat paljastivat esimerkiksi 29 komentoa Espressifin mikrokontrollereista, joita ei olleet virallisesti dokumentoitu. Näiden komentojen avulla voidaan muuttaa laitteen MAC-osoitetta, manipuloida muistinhallintaa ja injektoida LMP/LLCP-paketteja Bluetooth-liikenteeseen.

Takaportit ja asiantuntijoiden kritiikki

Tutkijat viittaavat löytöihinsä takaportteina, mutta kritiikkiä on esitetty termin oikeellisuudesta. Joidenkin asiantuntijoiden mukaan HCI-rajapinnan valmistajakohtaisia laajennoksia ei ole koskaan ollut dokumentoitu, mikä tekee niiden hyväksikäytöstä hyvin kyseenalaista.

Espressifin reaktio ja tulevaisuus

Espressif ei ole vielä kommentoinut asiaa julkisesti, ja kysymys kuuluu: jäivätkö nämä komennot vahingossa käyttöönotettaviksi vai oliko taustalla tahallinen toiminta? Tämä hälyttävä löydös herättää keskustelua kyberturvallisuudesta ja siitä, miten yritykset voivat suojata laitteitaan nöyrältä mutta näkymättömältä uhkalta.