网络安全研究人员发现了一个潜在的安全问题,该研究人员具有影响超过十亿个设备的能力。
根据网络安全公司的研究人员的说法TARLOGIC,一个隐藏的命令已经找到编码为全球设备中安装的蓝牙芯片。根据研究人员的说法,这种秘密功能可以被不良行为者武器化,并用作这些设备的利用。
使用这些命令,黑客可以模仿受信任的设备,然后连接到智能手机,计算机和其他设备,以访问存储在其上的信息。坏演员可以继续利用与设备的连接来基本上监视用户。
蓝牙芯片称为ESP32,由总部位于中国的公司Espressif生产。根据研究人员的说法,ESP32是“可实现WiFi和蓝牙连接的微控制器”。 2023年,Espressif报告说,其ESP32芯片中有十亿个单位已在全球销售。像智能设备这样的数百万个物联网设备利用了这种特殊的ESP32芯片。
可混合的轻速速度
TARLOGIC的研究人员说,可以利用这种隐藏的命令,这将允许“敌对的演员进行模仿攻击,并永久感染敏感设备,例如手机,计算机,智能锁或医疗设备,通过绕过代码审核控制措施”。 Tarlogic说,这些命令并未由Espressif公开记录。
具有TARLOGIC的研究人员开发了一种新的蓝牙驱动程序工具,以帮助进行蓝牙相关的安全研究,这使得安全公司能够发现29个隐藏功能,可以利用这些功能来模拟已知设备并访问存储在设备上的机密信息。
根据Tarlogic的说法,Espressif以大约2美元的价格出售这些蓝牙芯片,这解释了为什么如此多的设备在更高的成本量中使用该组件。
作为易怒的计算机报告,问题正在跟踪CVE-2025-27840。
