Fabrikant ESP32-chip: 'ongedocumenteerde bluetooth commando's' krijgen fix
De fabrikant van de ESP32-microchip, die voor de bluetooth- en wifi-functionaliteit in miljoenen Internet of Things (IoT)-apparaten wordt gebruikt, komt met een fix om 'ongedocumenteerde bluetooth commando's' te verwijderen. Dat laat fabrikant Espressif via de eigen website weten. Securitybedrijf Tarlogic claimde afgelopen weekend een backdoor in de ESP32-microchip. Vervolgens stelde het bedrijf dat het niet om een backdoor ging, maar 'ongedocumenteerde commando's' die het als 'hidden feature' bestempelde.
Via de commando's zou het mogelijk zijn om de ESP32-controller te lezen en aan te passen, en zo allerlei apparaten te infecteren. Een aanvaller zou wel toegang tot de apparaten nodig hebben. Espressif is nu met een uitgebreide reactie gekomen en stelt dat er geen sprake van een backdoor is. Het gaat volgens de chipfabrikant om 'debug commando's' die voor testdoeleinden zijn bedoeld.
Volgens de chipfabrikant is er geen 'echte, bekende beveiligingsdreiging' die de ongedocumenteerde commando's vormen. Vanwege de berichtgeving geeft Espressif aan dat het met een fix komt om toegang tot de debug commando's te verwijderen. Daarnaast zal de fabrikant leverancierspecifieke commando's gaan documenteren. Wanneer de fix en documentatie verschijnen is niet bekend. Tarlogic heeft inmiddels meer details over het eigen onderzoek gepubliceerd.
Het laatste kun je alleen patchen met een nieuwe chip.
Wie behalve de fabrikant kan nog meer de firmware aanpassen? Dat is de backdoor. Niet dat je er als consument iets aan kan doen. Externe factor waar je geen controle over hebt dus negeren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
