西班牙资安业者Tarlogic Security上周揭露,有一款同时支援蓝牙与Wi-Fi的微晶片ESP32含有未纪录的隐藏命令,可被骇客用来执行攻击行动,包括仿冒装置身分存取其它装置。ESP32在市场上的售价为2欧元(约72元新台币),是由中国无晶圆厂半导体业者乐鑫(Espressif)所生产,估计全球有超过10亿台IoT装置采用该晶片。
乐鑫为上海证券交易科创办的上市公司,ESP32是该公司的主要产品,合作对象从百度、小米到Amazon不等,2019年首次公开发行股票(IPO)时的牌价为62.6元人民币,上周的收盘价是231.5元人民币。
这些隐藏命令属于主机控制器命令(Host Controller Interface,HCI),总计有29个,包括写入记忆体在内,已被赋予漏洞编号CVE-2025-27840,可允许骇客修改晶片以解锁其它功能,植入恶意程式,或是进行装置身分窃盗攻击。
意谓著骇客可冒充已知装置连结到手机、电脑或其它智慧装置,以获取存在于这些装置上的机密资讯或商业对话,也可作为监视之用。
Tarlogic是利用该公司所开发的安全稽核工具BluetoothUSB,找到了ESP32的隐藏功能,这是一个免费的跨平台驱动程式,可用来执行安全测试与模拟攻击。Tarlogic表示,BluetoothUSB允许用户不必使用不同的硬体即可完成所有测试,降低测试门槛。
乐鑫的英文论坛已出现针对此事的讨论,当中有一名自称是乐鑫员工的ESP_Sprite表示,尽管他只看到简报,没看到详细资讯,但他认为大多数的问题可以透过韧体更新来解决,少数的问题则需要搭配其它安全漏洞才能被利用,且迄今尚未看到针对相关漏洞的概念性验证。