ESP32 sunt microcontrolere low-cost, low-power, utilizate pe scară largă în industria IoT (Internet of Things – Internetul obiectelor), ce au integrate caracteristici Wi-Fi și/sau Bluetooth, ceea ce le face foarte atractive atunci când e nevoie de Internet pentru a conecta între ele diferite dispozitive, servicii și sisteme automate.
Tocmai de aceea, ele au intrat în vizorul atacatorilor cibernetici care au descoperit o tehnică de acces local, ce permite ocolirea completă a tuturor mecanismelor de securitate din popularul cip ESP32, prin care malware-ul poate fi instalat și niciodată eliminat.
Producătorul și dezvoltatorul ESP32, firma chinezească Espressif Systems, a confirmat vulnerabilitatea, explicând că atacul se bazează pe extragerea cheilor criptografice și suprascrierea memoriei dintr-un cip considerat unul dintre cele mai sigure configurații.
Cercetătorii în securitate de la LimitedResults au continuat investigațiile cibernetice pornind de la dezvăluirea făcută de Espressif Systems, descoperind că atacul menționat funcționează împotriva componentei eFuse, o memorie programabilă o singură dată astfel: fiecare bit poate fi programat o singură dată la valoarea ”1” după care nu mai poate fi adus la ”0”. Prin programarea în acest fel a unui malware nicio actualizare software nu poate reseta informația stocată în eFuse, cip-ul trebuind a fi înlocuit fizic sau dispozitivul care-l înglobează aruncat. Atacul este conceput astfel încât firmware-ul nu este înlocuit complet, astfel încât dispozitivul poate părea că funcționează normal.
Natura persistentă a atacului poate fi compromisă în situația în care este plasată în eFuse o nouă informație utilă, situație care compromite definitiv dispozitivul bazat pe ESP32.
Cu toate acestea ESP32 rămâne un microcontroler cu impact semnificativ asupra industriei IoT. În ianuarie 2018, Espressif Systems anunța că a livrat peste 100 milioane de dispozitive ce au înglobat ca element cheie cip-ul ESP32, care este compatibil, printre altele, cu Amazon FreeRTOS, Microsoft Azure IoT, Google Cloud IoT, adică cu cei mai populari asistenți virtuali ai momentului.
Impactul acestui atac depășește dispozitivele simpliste/hobbyste sau granița dispozitivelor IoT cu costuri reduse (becuri sau termostate inteligente etc.) deoarece prin compromiterea dispozitivului în sine atacatorul obține acces nu doar la resurse și subsisteme autentificate în rețeaua IoT ci la întreg mediul local de securitate.
Tehnicile de atenuare a compromiterii hardware se bazează, în general, pe posibilitatea de a asigura o identitate unică în accesarea dispozitivelor, ceea ce ar permite dezvoltatorilor IoT să dezactiveze ulterior programării identitatea respectivă sau să limiteze accesul la dispozitivele care nu au fost actualizate de mult timp.
Fără posibilitatea de a restabili dispozitivele compromise, firmele producătoare care își bazează produsele pe cip-ul ESP32 ar trebui să ia în considerare o actualizare de firmware care să verifice dacă eFuse este ”curat” atunci când doresc reutilizarea lor.