Para peneliti keamanan telah menemukan potensi kerentanan yang dapat memengaruhi miliaran perangkat di seluruh dunia. Microchip ESP32, sebuah komponen yang ditemukan di banyak perangkat IoT mulai dari ponsel pintar hingga peralatan medis, mengandung perintah yang tidak terdokumentasi yang berpotensi dieksploitasi dalam kondisi tertentu.
Penemuan
Peneliti keamanan Spanyol dari Tarlogic Security telah mengidentifikasi serangkaian 29 perintah tersembunyi khusus vendor dalam firmware Bluetooth microchip ESP32. Perintah Host Controller Interface (HCI) eksklusif ini, termasuk salah satunya yang diidentifikasi sebagai Opcode 0x3F, memungkinkan kontrol tingkat rendah atas fungsi Bluetooth dan tidak didokumentasikan secara publik oleh produsen. Para peneliti mempresentasikan temuan mereka di RootedCON di Madrid, menyoroti bagaimana perintah-perintah ini berpotensi dimanfaatkan untuk membaca dan memodifikasi memori di pengontrol ESP32.
Cakupan Dampak
Microchip ESP32, yang diproduksi oleh perusahaan Tiongkok Espressif, adalah salah satu komponen yang paling banyak digunakan di dunia untuk mengaktifkan konektivitas WiFi dan Bluetooth di perangkat IoT. Popularitasnya sebagian berasal dari harganya yang terjangkau, dengan unit yang berharga sekitar 2 dolar di platform e-commerce. Menurut Espressif, chip ini hadir di lebih dari satu miliar perangkat di seluruh dunia, termasuk ponsel pintar, kunci pintar, speaker, dan bahkan peralatan medis, membuat dampak potensial dari masalah keamanan apa pun menjadi signifikan.
Detail Microchip ESP32:
- Produsen: Espressif (perusahaan China)
- Penggunaan: Ditemukan di lebih dari 1 miliar perangkat di seluruh dunia
- Jenis perangkat: Smartphone, komputer, kunci pintar, peralatan medis, speaker
- Biaya: Serendah $2 di platform e-commerce
- Fungsi: Menyediakan konektivitas WiFi dan Bluetooth untuk perangkat IoT
Kemampuan dan Risiko
Perintah yang tidak terdokumentasi yang ditemukan oleh para peneliti dapat memungkinkan operasi seperti membaca dan menulis ke RAM dan memori Flash, memalsukan alamat MAC untuk meniru perangkat, dan menyuntikkan paket LMP/LLCP. Meskipun fungsi-fungsi ini tidak secara inheren berbahaya dan kemungkinan disertakan untuk tujuan debugging, mereka berpotensi disalahgunakan oleh penyerang yang telah mendapatkan akses ke perangkat. Ini dapat memungkinkan serangan peniruan, penghindaran audit keamanan, atau modifikasi permanen perilaku perangkat.
Perintah Tersembunyi Ditemukan:
- 29 perintah khusus vendor termasuk Opcode 0x3F
- Kemampuan: Membaca/menulis ke RAM dan memori Flash, pemalsuan alamat MAC, injeksi paket LMP/LLCP
- Model yang terpengaruh: Hanya chip ESP32 asli (seri ESP32-C, ESP32-S, dan ESP32-H tidak terpengaruh)
- Persyaratan eksploitasi: Biasanya memerlukan akses fisik atau firmware yang sudah disusupi
Batasan Eksploitasi
Penting untuk dicatat bahwa perintah-perintah ini tidak dapat diakses secara langsung dari jarak jauh tanpa kerentanan tambahan. Espressif telah mengklarifikasi bahwa perintah tidak dapat dipicu oleh Bluetooth, sinyal radio, atau melalui Internet, yang berarti mereka tidak menimbulkan risiko kompromi jarak jauh dengan sendirinya. Skenario serangan yang paling praktis kemungkinan melibatkan akses fisik ke antarmuka USB atau UART perangkat, atau firmware yang sudah disusupi. Selain itu, Espressif menyatakan bahwa jika ESP32 digunakan dalam aplikasi mandiri yang tidak terhubung ke chip host yang menjalankan host BLE, perintah tidak terekspos dan tidak menimbulkan ancaman keamanan.
Respons Produsen
Menanggapi temuan tersebut, Espressif telah menerbitkan penjelasan yang membahas kekhawatiran tersebut. Perusahaan menekankan bahwa ini bukan pintu belakang tetapi antarmuka debug yang disediakan oleh IP. Mereka mengklarifikasi bahwa memiliki perintah pribadi seperti itu bukanlah praktik yang tidak umum dalam industri. Meskipun tetap berpendapat bahwa perintah-perintah tersebut tidak menimbulkan risiko keamanan dengan sendirinya, Espressif telah berkomitmen untuk menyediakan perbaikan perangkat lunak untuk menghapus perintah yang tidak terdokumentasi ini. Perusahaan juga mencatat bahwa hanya chip ESP32 asli yang terpengaruh, bukan seri ESP32-C, ESP32-S, dan ESP32-H.
Alat Penelitian dan Implikasi
Untuk menganalisis dan mengungkap perintah tersembunyi ini, Tarlogic mengembangkan driver Bluetooth USB berbasis C baru yang disebut BluetoothUSB. Alat ini menyediakan akses independen perangkat keras dan lintas platform ke lalu lintas Bluetooth, memungkinkan audit keamanan komprehensif perangkat Bluetooth tanpa bergantung pada API khusus OS. Ini mengatasi kesenjangan signifikan dalam alat pengujian keamanan saat ini, yang sering memerlukan perangkat keras khusus dan dibatasi oleh ketergantungan mereka pada sistem operasi tertentu.
Pertimbangan Keamanan Masa Depan
Penemuan ini menyoroti pentingnya transparansi dalam komponen perangkat keras, terutama yang digunakan dalam miliaran perangkat di seluruh dunia. Meskipun para peneliti awalnya menggunakan istilah pintu belakang untuk menggambarkan temuan mereka, mereka kemudian mengklarifikasi bahwa perintah HCI eksklusif ini dapat lebih akurat dianggap sebagai fitur tersembunyi. Namun demikian, keberadaan fungsi yang tidak terdokumentasi dalam komponen perangkat keras yang banyak digunakan menimbulkan pertanyaan penting tentang keamanan rantai pasokan dan potensi penyalahgunaan dalam aplikasi sensitif.