수십억 기기에 사용된 Bluetooth 칩에서 발견된 미등록 백도어

Bluetooth 칩의 백도어 발견

• ESP32 칩의 백도어: 중국 제조사 Espressif의 ESP32 마이크로칩에서 문서화되지 않은 "백도어"가 발견됨. 이 칩은 2023년 기준 10억 개 이상의 장치에 사용되고 있음. 백도어는 신뢰할 수 있는 장치를 스푸핑하고, 무단 데이터 접근을 허용하며, 네트워크의 다른 장치로 이동하거나 장기적인 지속성을 확립할 수 있음.

• 발견 배경: 스페인 연구자 Miguel Tarascó Acuña와 Antonio Vázquez Blanco가 이 백도어를 발견하고, 마드리드의 RootedCON에서 발표함. 이 백도어는 모바일 폰, 컴퓨터, 스마트 잠금 장치, 의료 장비 등 민감한 장치에 영구적으로 감염시킬 수 있음.

ESP32에서 백도어 발견

• 블루투스 보안 연구: 블루투스 보안 연구에 대한 관심이 줄어들었지만, 이는 프로토콜이나 구현이 더 안전해졌기 때문이 아님. 대부분의 공격은 작동하는 도구가 없거나, 일반 하드웨어와 호환되지 않으며, 현대 시스템과 호환되지 않는 오래된 도구를 사용함.

• 새로운 도구 개발: Tarlogic은 하드웨어 독립적이고 크로스 플랫폼인 새로운 C 기반 USB 블루투스 드라이버를 개발하여 운영체제 특정 API에 의존하지 않고 하드웨어에 직접 접근할 수 있게 함. 이를 통해 ESP32 블루투스 펌웨어에서 숨겨진 벤더 특정 명령어(Opcode 0x3F)를 발견함.

• 발견된 명령어: 총 29개의 문서화되지 않은 명령어가 발견되었으며, 이는 메모리 조작(읽기/쓰기 RAM 및 Flash), MAC 주소 스푸핑(장치 스푸핑), LMP/LLCP 패킷 주입에 사용될 수 있음.

• 위험성: 이러한 명령어로 인해 OEM 수준에서 악의적인 구현 및 공급망 공격이 발생할 수 있음. 특히 공격자가 이미 루트 접근 권한을 가지고 있거나, 악성 펌웨어를 심거나, 악성 업데이트를 푸시한 경우 원격으로 백도어를 악용할 수 있음.

• 물리적 접근의 위험성: 일반적으로 장치의 USB 또는 UART 인터페이스에 물리적으로 접근하는 것이 더 위험하고 현실적인 공격 시나리오임.

• 연구자 설명: 연구자들은 ESP32 칩을 완전히 제어하고, RAM 및 Flash 수정 명령어를 통해 칩에 지속성을 얻을 수 있으며, 다른 장치로 확산될 가능성이 있다고 설명함.

• Espressif의 반응: BleepingComputer는 연구 결과에 대한 Espressif의 입장을 요청했으나 즉각적인 답변을 받지 못함.