ESP32 晶片驚爆安全漏洞？官方澄清：為內部除錯指令、無遠端存取風險

由中國廠商樂鑫科技（Espressif）所生產的 ESP32 微晶片，廣泛應用於全球超過 10 億台設備中，如今卻被揭露存在未公開的「後門」，可能成為駭客入侵物聯網設備的途徑。西班牙 Tarlogic Security 公司的研究人員 Miguel Tarascó Acuña 和 Antonio Vázquez Blanco 在馬德里舉行的 RootedCON 大會上，公開了這項重大發現。

Tarlogic Security 發布公告指出，他們在 ESP32 晶片中發現了一個後門，這個後門存在於數百萬計的物聯網設備中，讓駭客得以繞過程式碼稽核，進行身分冒充攻擊，並永久感染手機、電腦、智慧鎖、醫療設備等敏感裝置。

研究人員警告，ESP32 是全球最普及的 Wi-Fi + 藍牙連接晶片之一，一旦存在後門，風險將難以估計。他們在 RootedCON 的演示中提到，儘管近年來藍牙安全研究的熱度有所下降，但並非代表藍牙協議或其安全性有所提升，而是因為過去提出的許多攻擊缺乏可用的工具，且多半使用過時或未維護的工具，與現代系統的相容性不佳。

為此，Tarlogic 開發了一款基於 C 語言的全新 USB 藍牙驅動程式，這個驅動程式獨立於硬體且跨平台，可以直接存取硬體，無需依賴特定作業系統的 API。透過這個新工具，Tarlogic 發現了 ESP32 藍牙韌體中隱藏的供應商特定命令（Opcode 0x3F），這些命令允許對藍牙功能進行低級控制。

研究人員總共發現了 29 條未公開的命令，統稱為「後門」，可用於記憶體操作（讀/寫 RAM 和快閃記憶體）、MAC 位址欺騙（設備冒充）和 LMP/LLCP 數據包注入。由於樂鑫科技並未公開記錄這些命令，因此這些命令可能不具備可存取性，或是被錯誤地保留了下來。

這些命令可能帶來的風險包括 OEM 層面的惡意實施和供應鏈攻擊。根據藍牙堆疊在設備上處理人機互動命令的方式，駭客可能透過惡意韌體或惡意藍牙連接遠端利用後門。

研究人員表示，如果攻擊者已經擁有 root 權限、植入了惡意軟體，或是在設備上推送了惡意更新，從而打開了低級存取權限，情況將會更加嚴重。不過，一般來說，物理存取設備的 USB 或 UART 連接埠的風險要大得多，也是更現實的攻擊場景。

研究人員解釋：「如果你能入侵帶有 ESP32 的物聯網設備，就能在 ESP 儲存記憶體中隱藏 APT，並對其他設備實施藍牙（或 Wi-Fi）攻擊，同時透過 Wi-Fi/藍牙控制設備。我們的發現可以完全控制 ESP32 晶片，並透過允許修改 RAM 和快閃記憶體的命令獲得晶片的持久性。此外，由於 ESP32 允許執行高級藍牙攻擊，因此晶片中的持久性可能會擴散到其他設備上。」

樂鑫科技澄清「後門」爭議：實為內部除錯指令

針對此事，樂鑫科技也發佈新聞稿澄清「後門」爭議：

近日，部分媒體報導有關 ESP32 晶片被指控存在「後門」的新聞稿。樂鑫科技（Espressif）特此向廣大使用者和合作夥伴澄清此事。

值得注意的是，最初發布新聞稿的 Tarlogic 研究團隊已對其內容進行事實修正，刪除了「後門」的指稱。然而，部分媒體報導尚未更新以反映此項變更。樂鑫科技希望藉此機會向使用者與合作夥伴釐清相關細節。

事件始末

研究團隊發現的實為用於測試目的的除錯指令。這些除錯指令是樂鑫科技在藍牙技術中實現 HCI（主控制器介面）協定的一部分。該協定用於產品內部藍牙層之間的通訊。

關鍵澄清要點

內部除錯指令： 這些指令專為開發人員使用，無法遠端存取。擁有此類私有指令並非罕見做法。
無遠端存取： 這些指令無法透過藍牙、無線電訊號或網際網路觸發，這意味著它們不會對 ESP32 裝置構成遠端入侵的風險。
安全性影響： 雖然這些除錯指令存在，但它們本身不會對 ESP32 晶片構成安全風險。樂鑫科技仍將提供軟體修復程式，以移除這些未公開的指令。
影響範圍： 若 ESP32 用於獨立應用程式，且未連接至運行 BLE 主機的主機晶片，則上述 HCI 指令不會暴露，不存在安全威脅。
受影響的晶片組： 這些指令僅存在於 ESP32 晶片中，不包含在任何 ESP32-C、ESP32-S 和 ESP32-H 系列晶片中。

樂鑫科技的承諾

樂鑫科技始終將安全性放在首位，並積極致力於持續改進產品安全性。我們自 2015 年起建立了「產品安全事件回應流程」，該計畫提供漏洞賞金，鼓勵研究人員與我們合作，發現並修復潛在問題，從而增強整個生態系統的安全性。

樂鑫科技也對安全研究社群迅速澄清此披露不構成後門表示感謝。他們負責任的披露和持續的支持，對於幫助使用者準確評估安全影響並維護其連網裝置的完整性至關重要。

同時，我們建議使用者依賴官方韌體並定期更新，以確保其產品獲得最新的安全修補程式。如有任何疑問，請隨時透過樂鑫科技的官方支援管道聯繫我們。