Испанские исследователи Мигель Тараско Акунья и Антонио Васкес Бланко из Tarlogic Security обнаружили бэкдор в микроконтроллере ESP32, который обеспечивает Wi-Fi и Bluetooth-подключение и используется в IoT-устройствах. Свои находки они представили на конференции RootedCON в Мадриде.

Эксперты отдельно отметили, что интерес к безопасности Bluetooth снизился, но не из-за улучшений в защите протокола. Просто предыдущие атаки были в основном безуспешными, поскольку злоумышленники использовали неэффективные инструменты или устаревшее программное обеспечение, несовместимое с современными системами.

Tarlogic создала новый USB-драйвер Bluetooth на языке C, который работает на любом оборудовании и поддерживает кроссплатформенность. Он дает прямой доступ к аппаратуре, минуя API операционных систем. С помощью этого инструмента исследователи обнаружили в прошивке ESP32 скрытые команды производителя (Opcode 0×3F), позволяющие управлять функциями Bluetooth на низком уровне.

Всего было найдено 29 недокументированных команд, которые работают как бэкдор. С их помощью можно манипулировать памятью (читать/записывать данные в RAM и Flash), подменять MAC-адреса и внедрять пакеты LMP/LLCP.

Эти команды могут использоваться для атак на производителей и цепочки поставок. Злоумышленники могут взломать устройство через вредоносную прошивку или поддельные Bluetooth-соединения, особенно если у них уже есть root-доступ или они внедрили вредоносное обновление. Но самый вероятный сценарий — это когда атакующий получает физический доступ к USB или UART-портам устройства.

Espressif не упоминала эти команды в документации. Можно лишь предполагать, остались ли они незамеченными или их специально утаили. Уязвимость теперь зарегистрирована как CVE-2025-27840.