Исследователи из испанской компании Tarlogic Security нашли уязвимости в популярном микроконтроллере ESP32, который используется более чем в миллиарде устройств.
Они выявили 29 неофициальных команд, позволяющих злоумышленникам подделывать доверенные устройства, получать доступ к данным и атаковать другие устройства в сети. Об этом стало известно на конференции RootedCON в Мадриде.
Команды, не задокументированные производителем Espressif, дают возможность манипулировать памятью чипа, изменять MAC-адреса и внедрять пакеты в Bluetooth-соединения.
Проблема получила идентификатор CVE-2025-27840. Espressif утверждает, что эти команды предназначены только для внутреннего тестирования и не представляют угрозы, однако обещает убрать их в будущих обновлениях.
Хотя возможность удаленной эксплуатации еще не подтверждена, эксперты предупреждают, что злоумышленники с физическим доступом могут использовать ESP32 для атак, контролируя устройства через Wi-Fi или Bluetooth. Общественный совет при Минцифры России отметил, что наличие таких уязвимостей в широко используемом чипе вызывает вопросы о безопасности других компонентов.
Эксперты подчеркивают необходимость технологической независимости и контроля над аппаратным и программным обеспечением, чтобы избежать зависимости от западных ИТ-гигантов.