Securitybedrijf: ESP32-microchip bevat geen backdoor maar 'hidden feature'
Securitybedrijf Tarlogic claimde afgelopen weekend een backdoor in de ESP32-microchip, maar is daar nu op teruggekomen. Het gaat niet om een backdoor maar een 'hidden feature' die het mogelijk maakt om het geheugen in de ESP32-controller te lezen en aan te passen, aldus het bedrijf. De ESP32 is een microcontroller die voor de bluetooth- en wifi-functionaliteit in miljoenen Internet of Things (IoT)-apparaten wordt gebruikt.
Onderzoekers van Tarlogic rapporteerden afgelopen zaterdag dat er een backdoor in de chip aanwezig is waardoor aanvallers 'impersonation attacks' kunnen uitvoeren en apparaten zoals smartphones, computers, smart locks en medische apparatuur permanent kunnen infecteren. Volgens de onderzoekers bevat de chip verborgen en niet door de fabrikant gedocumenteerde commando's. Via deze commando's is het mogelijk om de chips aan te passen en 'extra functionaliteit' beschikbaar te maken.
De verborgen commando's zijn aangemerkt als CVE-2025-27840. Een aanvaller zou toegang tot het apparaat moeten hebben om misbruik van de beveiligingslekken te kunnen maken. "We willen duidelijk maken dat het gepaster is om de aanwezigheid van proprietary HCI-commando's, die het mogelijk maken om geheugen in de ESP32-controller te lezen en aan te passen, als een 'hidden feature' te bestempelen in plaats van een 'backdoor'", aldus Tarlogic in een update van het eigen artikel. Het securitybedrijf zegt de komende weken meer technische details openbaar te maken.
Als ik een winkel beroof is het een " intense woordenwisseling", nou goed?
Als ik een winkel beroof is het een " intense woordenwisseling", nou goed?
Als ik lieg, is dat een "alternative fact".
'hidden feature' voor overheden? Heel goed dat dit aan het licht komt.
^BB
Als ik een winkel beroof is het een " intense woordenwisseling", nou goed?
Het is gewoon zoals het is: niet alle functies zijn gedocumenteerd.
Ik heb ook wel eens een auto gekocht en nergens in de gebruiksaanwijzing stond dat als je het stuur naar links draait de auto ook een bocht naar links maakt. Dat was ook een ongedocumenteerde feature. (;
Als ik een winkel beroof is het een " intense woordenwisseling", nou goed?
Het is gewoon zoals het is: niet alle functies zijn gedocumenteerd.
Ik heb ook wel eens een auto gekocht en nergens in de gebruiksaanwijzing stond dat als je het stuur naar links draait de auto ook een bocht naar links maakt. Dat was ook een ongedocumenteerde feature. (;
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
