Thế Việt
Writer
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên chip ESP32, một bộ vi điều khiển giá rẻ, năng lượng thấp, hỗ trợ Wi-Fi và Bluetooth, do công ty Espressif (Trung Quốc) sản xuất. Lỗ hổng này có thể bị hacker lợi dụng để mạo danh thiết bị, truy cập thông tin cá nhân và thực hiện các hành vi tấn công mạng, gây ảnh hưởng đến hàng triệu thiết bị IoT (Internet of Things) trên toàn cầu.
'Lệnh Ẩn' Nguy Hiểm và Nguy Cơ Tấn Công Mạo Danh
Công ty an ninh mạng Tarlogic (Tây Ban Nha) đã phát hiện ra một "lệnh ẩn" được mã hóa trong chip ESP32. Lệnh ẩn này có thể bị khai thác từ xa thông qua phần mềm độc hại hoặc kết nối Bluetooth giả mạo, cho phép kẻ tấn công mạo danh một thiết bị đáng tin cậy và truy cập vào thông tin được lưu trữ trên đó.
"Lệnh ẩn này có thể bị khai thác, giúp kẻ xấu thực hiện cuộc tấn công mạo danh vào các thiết bị nhạy cảm như điện thoại, máy tính, khóa thông minh hoặc thiết bị y tế bằng cách bỏ qua các biện pháp kiểm tra mã", đại diện Tarlogic cho biết.
Tarlogic đã phát triển một công cụ điều khiển Bluetooth để phát hiện lỗ hổng này. Theo công ty, có tổng cộng 29 "chức năng ẩn" trên chip ESP32 có thể bị khai thác để thực hiện các cuộc tấn công.
ESP32: Chip Bluetooth Giá Rẻ, Phổ Biến Trong Hàng Triệu Thiết Bị IoT
ESP32 là một bộ vi điều khiển (microcontroller) giá rẻ, tiết kiệm năng lượng, được tích hợp Wi-Fi và Bluetooth (chế độ kép). Chip này sử dụng bộ vi xử lý Tensilica Xtensa LX6 (có cả phiên bản lõi đơn và lõi kép), ăng-ten tích hợp, bộ khuếch đại công suất, bộ khuếch đại thu nhiễu thấp, bộ lọc và mô-đun quản lý năng lượng.
Năm 2023, Espressif cho biết đã bán ra hơn một tỷ chip ESP32 trên toàn cầu. Với mức giá chỉ khoảng 2 USD/chip (do TSMC sản xuất), ESP32 được sử dụng rộng rãi trong hàng triệu thiết bị IoT, từ các thiết bị gia dụng thông minh, thiết bị đeo, đến các hệ thống công nghiệp.
Trước thông tin về lỗ hổng bảo mật do Tarlogic công bố, Espressif đã lên tiếng phản hồi vào ngày 10/3/2025. Công ty cho biết, các "lệnh ẩn" được phát hiện "là lệnh gỡ lỗi được đưa vào cho mục đích thử nghiệm nội bộ". Tuy nhiên, Espressif không đưa ra thêm bất kỳ bình luận nào về vấn đề này.
Vụ việc lỗ hổng bảo mật trên chip ESP32 một lần nữa cho thấy tầm quan trọng của việc bảo mật trong các thiết bị IoT. Việc sử dụng các linh kiện giá rẻ, không rõ nguồn gốc, hoặc không được kiểm tra bảo mật kỹ lưỡng có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quyền riêng tư và an toàn của người dùng.
Người dùng và các nhà sản xuất thiết bị IoT cần nâng cao cảnh giác, thường xuyên cập nhật phần mềm, sử dụng các biện pháp bảo mật mạnh mẽ, và lựa chọn các nhà cung cấp linh kiện uy tín để giảm thiểu rủi ro bị tấn công.
'Lệnh Ẩn' Nguy Hiểm và Nguy Cơ Tấn Công Mạo Danh
Công ty an ninh mạng Tarlogic (Tây Ban Nha) đã phát hiện ra một "lệnh ẩn" được mã hóa trong chip ESP32. Lệnh ẩn này có thể bị khai thác từ xa thông qua phần mềm độc hại hoặc kết nối Bluetooth giả mạo, cho phép kẻ tấn công mạo danh một thiết bị đáng tin cậy và truy cập vào thông tin được lưu trữ trên đó.
"Lệnh ẩn này có thể bị khai thác, giúp kẻ xấu thực hiện cuộc tấn công mạo danh vào các thiết bị nhạy cảm như điện thoại, máy tính, khóa thông minh hoặc thiết bị y tế bằng cách bỏ qua các biện pháp kiểm tra mã", đại diện Tarlogic cho biết.
Tarlogic đã phát triển một công cụ điều khiển Bluetooth để phát hiện lỗ hổng này. Theo công ty, có tổng cộng 29 "chức năng ẩn" trên chip ESP32 có thể bị khai thác để thực hiện các cuộc tấn công.
ESP32: Chip Bluetooth Giá Rẻ, Phổ Biến Trong Hàng Triệu Thiết Bị IoT
ESP32 là một bộ vi điều khiển (microcontroller) giá rẻ, tiết kiệm năng lượng, được tích hợp Wi-Fi và Bluetooth (chế độ kép). Chip này sử dụng bộ vi xử lý Tensilica Xtensa LX6 (có cả phiên bản lõi đơn và lõi kép), ăng-ten tích hợp, bộ khuếch đại công suất, bộ khuếch đại thu nhiễu thấp, bộ lọc và mô-đun quản lý năng lượng.
Năm 2023, Espressif cho biết đã bán ra hơn một tỷ chip ESP32 trên toàn cầu. Với mức giá chỉ khoảng 2 USD/chip (do TSMC sản xuất), ESP32 được sử dụng rộng rãi trong hàng triệu thiết bị IoT, từ các thiết bị gia dụng thông minh, thiết bị đeo, đến các hệ thống công nghiệp.
Trước thông tin về lỗ hổng bảo mật do Tarlogic công bố, Espressif đã lên tiếng phản hồi vào ngày 10/3/2025. Công ty cho biết, các "lệnh ẩn" được phát hiện "là lệnh gỡ lỗi được đưa vào cho mục đích thử nghiệm nội bộ". Tuy nhiên, Espressif không đưa ra thêm bất kỳ bình luận nào về vấn đề này.
Vụ việc lỗ hổng bảo mật trên chip ESP32 một lần nữa cho thấy tầm quan trọng của việc bảo mật trong các thiết bị IoT. Việc sử dụng các linh kiện giá rẻ, không rõ nguồn gốc, hoặc không được kiểm tra bảo mật kỹ lưỡng có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quyền riêng tư và an toàn của người dùng.
Người dùng và các nhà sản xuất thiết bị IoT cần nâng cao cảnh giác, thường xuyên cập nhật phần mềm, sử dụng các biện pháp bảo mật mạnh mẽ, và lựa chọn các nhà cung cấp linh kiện uy tín để giảm thiểu rủi ro bị tấn công.
