Istraživači iz oblasti sajber bezbednosti otkrili su ozbiljan sigurnosni problem u obliku tajnih komandi skrivenih u blutut čipu koji se koristi u milijardama uređaja širom sveta. Ovo otkriće, koje dolazi iz kompanije „Tarlogic“, potencijalno može otvoriti vrata za hakerske napade i neovlašćen pristup ličnim uređajima.
Prema analizi stručnjaka, tajna komanda je pronađena u kodu blutut čipa koji nosi oznaku ESP32 i koji proizvodi kineska kompanija Espressif. Ovaj čip omogućava WiFi i blutut povezivanje, a Espressif je izvestio da je prodao više od milijarde jedinica ovog modela do 2023. godine. Zbog svoje niske cene, koja iznosi oko 2 dolara po komadu, ESP32 se našao u velikom broju IoT uređaja, uključujući pametne kućne aparate.
Istraživači su otkrili da napadači mogu koristiti skrivene komande kako bi lažno predstavili svoj uređaj kao pouzdan, što im omogućava da se povežu sa pametnim telefonima, računarima i drugim uređajima. Kada uspostave vezu, hakeri mogu pristupiti podacima koji su sačuvani na tim uređajima, a zatim mogu špijunirati korisnike bez njihovog znanja.
Tarlogic ističe da se ovakve skrivene komande mogu koristiti za izvođenje „napada lažnog predstavljanja“, čime se omogućava trajno kompromitovanje osetljivih uređaja kao što su mobilni telefoni, računari, pametne brave i medicinska oprema. Ove komande nisu javno dokumentovane od strane kompanije Espressif, što dodatno komplikuje situaciju.
Istraživači su razvili novi alat za blutut drajvere kako bi istražili ovu ranjivost, koji je omogućio otkrivanje ukupno 29 skrivenih funkcionalnosti. Ove funkcionalnosti mogu biti iskorišćene za lažno predstavljanje uređaja i pristup poverljivim informacijama, što predstavlja ozbiljnu pretnju za korisnike.
Ovo otkriće ukazuje na potrebu za većom pažnjom kada je reč o bezbednosti IoT uređaja koji koriste ESP32 čip. S obzirom na to da se ovakvi čipovi nalaze u mnogim svakodnevnim uređajima, uključujući pametne tepihe, kućne aparate i medicinsku opremu, postoji zabrinutost da bi hakeri mogli lako iskoristiti ovu ranjivost.
Takođe, istraživači upozoravaju da bi korisnici trebali biti oprezni prilikom korišćenja ovih uređaja i redovno ažurirati softver kako bi se zaštitili od potencijalnih napada. Ove informacije su posebno važne za korisnike koji koriste pametne uređaje u svojim domovima, jer su oni često meta napada.
Espressif, kao proizvođač čipa, još uvek nije komentarisao ovo otkriće, ali je jasno da će morati da preuzmu odgovornost za bezbednost svojih proizvoda. Kako se tehnologija razvija, tako se i pretnje povećavaju, a proizvođači moraju biti proaktivni u zaštiti svojih korisnika.
U svetlu ovih saznanja, istraživači iz Tarlogica pozivaju na povećanu transparentnost i dokumentaciju sigurnosnih funkcija u proizvodima IoT, kako bi se smanjila mogućnost zloupotrebe. U isto vreme, korisnici bi trebali biti svesni potencijalnih pretnji i preduzeti korake za zaštitu svojih podataka.
Ovo otkriće može imati dalekosežne posledice ne samo za korisnike, već i za industriju IoT uređaja u celini. S obzirom na to koliko je blutut čipova već instalirano u različitim uređajima, neophodno je da se hitno reše otkrivene ranjivosti kako bi se obezbedila sigurnost korisnika širom sveta.
