Milyarlarca cihazda kullanılan Bluetooth çipinde kayıtsız bir arka kapı bulundu

 (bleepingcomputer.com)
3 puan yazan GN⁺ 2025-03-09 | 1 yorum | WhatsApp'ta paylaş

Bluetooth çipinde arka kapı keşfi

  • ESP32 çipindeki arka kapı: Çinli üretici Espressif'in ESP32 mikroçipinde belgelenmemiş bir "arka kapı" bulundu. Bu çip, 2023 itibarıyla 1 milyardan fazla cihazda kullanılıyor. Arka kapı; güvenilir cihazları taklit etmeye, yetkisiz veri erişimine izin vermeye, ağdaki diğer cihazlara sıçramaya veya uzun süreli kalıcılık sağlamaya imkan verebilir.

  • Keşfin arka planı: İspanyol araştırmacılar Miguel Tarascó Acuña ve Antonio Vázquez Blanco bu arka kapıyı keşfetti ve Madrid'deki RootedCON'da sundu. Bu arka kapı; cep telefonları, bilgisayarlar, akıllı kilitler ve tıbbi ekipman gibi hassas cihazları kalıcı olarak enfekte edebilir.

ESP32'de arka kapı bulundu

  • Bluetooth güvenlik araştırması: Bluetooth güvenliği araştırmalarına ilgi azalmış olsa da bunun nedeni protokolün veya uygulamaların daha güvenli hale gelmiş olması değil. Çoğu saldırı ya çalışan araçlara sahip değil ya da genel donanımla uyumlu olmayan ve modern sistemlerle çalışmayan eski araçlar kullanıyor.

  • Yeni araç geliştirme: Tarlogic, işletim sistemine özgü API'lere bağlı kalmadan donanıma doğrudan erişim sağlayan, donanımdan bağımsız ve çapraz platform yeni bir C tabanlı USB Bluetooth sürücüsü geliştirdi. Bu sayede ESP32 Bluetooth firmware'inde gizli, üreticiye özgü komutlar (Opcode 0x3F) keşfedildi.

  • Keşfedilen komutlar: Toplam 29 adet belgelenmemiş komut bulundu ve bunlar bellek manipülasyonu (RAM ve Flash okuma/yazma), MAC adresi taklidi (cihaz taklidi) ve LMP/LLCP paket enjeksiyonu için kullanılabiliyor.

  • Riskler: Bu komutlar, OEM seviyesinde kötü amaçlı uygulamalara ve tedarik zinciri saldırılarına yol açabilir. Özellikle saldırganın zaten root erişimine sahip olması, kötü amaçlı firmware yüklemesi veya kötü amaçlı güncelleme itmesi durumunda arka kapı uzaktan istismar edilebilir.

  • Fiziksel erişim riski: Genel olarak cihazın USB veya UART arayüzlerine fiziksel erişim, daha tehlikeli ve daha gerçekçi bir saldırı senaryosu olarak görülüyor.

  • Araştırmacıların açıklaması: Araştırmacılar, ESP32 çipini tamamen kontrol edebildiklerini ve RAM ile Flash değiştirme komutları üzerinden çip üzerinde kalıcılık elde edebildiklerini, ayrıca bunun başka cihazlara yayılma potansiyeli taşıdığını belirtiyor.

  • Espressif'in tepkisi: BleepingComputer, araştırma sonuçlarıyla ilgili olarak Espressif'ten görüş istedi ancak hemen bir yanıt alamadı.

İlgili okumalar

1 yorum

 
GN⁺ 2025-03-09
Hacker News yorumu

  • Başlık yanıltıcı olabilir. "Arka kapı", kişinin kendi USB Bluetooth adaptörünün belleğini ve diğer düşük seviyeli işlevlerini inceleyip manipüle etmesine izin veriyor gibi görünüyor. Kablosuz olarak kullanılabilir değil

    • Belgelenmemiş hata ayıklama komutları yaygındır. WiFi adaptörlerinde ve GPS alıcılarında benzer özellikler bulduğum oldu. Bunlar, çip firmware'ini veya üretici sürücülerini tersine mühendislikle ortaya çıkarılıyor. Tek başına büyük bir sorun değil. İmzalanmamış firmware'e izin vermek de aynı şekilde zafiyet yaratır
    • Eğer bu özellik host dışından kullanılabiliyorsa, bu çok farklı bir durum olurdu

  • Araştırmacılar, ESP32 WiFi yığınına düşük seviyeli erişime izin veren belgelenmemiş bir donanım özelliği keşfetti

    • Buna "arka kapı" demek sadece tıklama tuzağı

  • Bu başlık yanlış. Bluetooth çipindeki bir arka kapı, kablosuz bir saldırganın çip üzerinde kod çalıştırmasına izin vermelidir. Bu makale ise bağlı cihazın sürücüsünün çip üzerinde kod çalıştırabildiğini bildiriyor. Bu, güvenlik sınırını ihlal etmiyor

    • Sağlıklı işleyen bir gazetecilik ekosisteminde bunun geri çekilmesi gerekir ve bunu yazan mecranın itibarına büyük zarar verirdi. Ama bu olmayacak

  • Bluetooth yığınında belgelenmemiş birkaç komut mu var, yoksa ne olduğu kafamı karıştırıyor. Eğer bu yalnızca cihazda zaten çalışan kod tarafından erişilebiliyorsa, buna arka kapı demezdim

  • Teorik olarak bağlı BT radyosunun kendisine düşük seviyeli erişim olması gerekir. Bu beklenen bir şey

    • Cihazın bu tür düşük seviyeli arayüzlere sahip olmasını tercih ederim. Sorun varlığından çok belgelenmemiş olması olabilir
    • Qualcomm radyolarda USB üzerinden bellek okuma/yazma komutlarını kullanarak kilitli cihazların kilidini açıp sahipliğini aldım. Bu tam bir OOB okuma/yazma olduğu için kötü olabilir, ama eğer buna yalnızca flash'lanmış koddan erişilebiliyorsa daha iyi olurdu

  • İyi araştırma ama kötü başlık. Saldırı vektörü olarak fiziksel erişim gerektiriyor ve neredeyse her durumda zaten başka yollarla yapılabiliyor. "Yaygın Bluetooth çiplerinde bulunan belgelenmemiş komutlar" daha iyi bir başlık olurdu

  • TL;DR: Firmware tersine mühendislikle incelenerek bellek okuma/yazma, paket gönderme, MAC adresi ayarlama gibi HCI komutları bulundu

    • Aslında arka kapı değil. Buna onların mı arka kapı dediğini (sunum İspanyolca), yoksa gazetecilerin tıklama almak için mi böyle adlandırdığını bilmiyorum
    • Cihaza HCI komutları göndermek için keyfi erişim gerekir. Bu da zaten cihazı kontrol ediyor olduğunuz anlamına gelir. Kablosuz bağlantı üzerinden uzaktan istismar edilen bir şey değil. Tüm exploit'ler zaten cihazın tam kontrolünü gerektiriyor ve bu noktada MAC adresini değiştirebilmek ya da paket gönderebilmek şaşırtıcı değil
    • İlginç bir araştırma ama bunun "arka kapı" diye paketlenmesini görmek gerçekten hayal kırıklığı yaratıyor. Bu ifadeden kimin sorumlu olduğunu bilmiyorum. Muhtemelen gazetecilerdir

  • Herkes masaüstü ve dizüstü bilgisayarlarına kernel space'te çalışan opak binary blob sürücüler kurmaktan ve kendi bulut kontrollü telefonlarında root erişimine bile sahip olmamaktan rahatsız olmuyor ama yalnızca cihaz zaten ele geçirilmişken kullanılabilen belgelenmemiş düşük seviyeli ESP32 komutları haber değeri taşıyan bir tehdit vektörü oluyor

    • Çeviri sürecinde bir şeyler mi ters gitti diye merak ediyorum. Eskiden bunun havalı olduğunu düşünür ve bunu SDR'a dönüştürmenin bir yolunu arardım