Milióny zariadení po celom svete môžu čeliť bezpečnostnému riziku v dôsledku nezdokumentovanej funkcionality v populárnych čipoch ESP32 od čínskej spoločnosti Espressif. Tieto čipy, zabezpečujúce Bluetooth a Wi-Fi konektivitu, sú bežne integrované do rôznych zariadení internetu vecí (IoT), ako sú mobilné telefóny, zdravotnícke prístroje, herné konzoly, termostaty, laptopy či športové náramky.

Bezpečnostní experti z tímu Tarlogic identifikovali, že táto skrytá funkcionalita umožňuje útočníkom získať prístup do pamäte zariadenia, modifikovať ju a manipulovať s Bluetooth pripojením. To môže viesť k odcudzeniu identity, obchádzaniu bezpečnostných opatrení, trvalej zmene správania zariadenia a potenciálnym útokom na iné blízke zariadenia. Podobné zraniteľnosti boli v minulosti zneužité, napríklad pri prieniku do vozidiel Tesla Model 3.

Výrobca Espressif priznal existenciu tejto nezdokumentovanej funkcionality, ktorá slúži na interné účely, konkrétne na odstraňovanie chýb. Zdôraznil však, že na jej zneužitie by útočník musel najprv získať prístup k firmvéru ESP32, čo by si vyžadovalo buď fyzický prístup k zariadeniu, alebo kompromitáciu samotného firmvéru. Dôležité je tiež spomenúť, že táto zraniteľnosť sa týka len pôvodných čipov ESP32; novšie verzie, ako sú ESP32-C, ESP32-H a ESP32-S, nie sú postihnuté. Napriek tomu Espressif plánuje aktualizovať svoj firmvér na odstránenie tejto zraniteľnosti, avšak k dnešnému dňu ešte nebola vydaná záplata.

Národný bezpečnostný úrad (NBÚ) Slovenskej republiky vydal varovanie týkajúce sa tejto zraniteľnosti, ktorá bola v americkej databáze kybernetických zraniteľností označená ako CVE-2025-27840 s pridelenou strednou mierou bezpečnostnej závažnosti. NBÚ odporúča dodržiavať základné pravidlá kybernetickej hygieny, ako sú pravidelné aktualizácie softvéru a firmvéru, používanie silných hesiel a obmedzenie prístupu neautorizovaných osôb k zariadeniam, aby sa minimalizovalo riziko potenciálneho zneužitia tejto zraniteľnosti.

Odporúčania pre zvýšenie bezpečnosti IoT zariadení

Aby ste minimalizovali riziko zneužitia tejto zraniteľnosti, odporúčame dodržiavať základné pravidlá kybernetickej bezpečnosti:

• Aktualizujte softvér a firmvér – Nielen na počítačoch, ale aj na IoT zariadeniach (vrátane domácich spotrebičov a osobných zariadení) pravidelne aplikujte dostupné bezpečnostné záplaty.
• Minimalizujte pripojenie k internetu – Ak zariadenie nevyžaduje internetovú konektivitu, odporúčame ho používať v offline režime.
• Obmedzte prístup k IoT zariadeniam – Pre zariadenia, ktoré musia byť dostupné z internetu (napr. IP kamery), nastavte firewall tak, aby akceptoval pripojenie len z vybraných IP adries.
• Zabezpečte domáce Wi-Fi siete – Aktivujte funkciu „izolácie klientov“, ktorá zabráni priamemu pripojeniu medzi zariadeniami v sieti a umožní im komunikovať iba s internetom.
• Sledujte podporu od výrobcu – Pravidelne kontrolujte stránky výrobcu ohľadom aktualizácií. Zariadenia, ktoré dosiahli koniec životného cyklu (End of Life) alebo stratili podporu (End of Support), odporúčame vymeniť za novšie modely so zaručenými bezpečnostnými aktualizáciami.

Dodržiavanie týchto krokov pomôže výrazne znížiť riziko kybernetických útokov na vaše IoT zariadenia.

Zdroje

"Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices" Tarlogic
"Skrytá, nezdokumentovaná funkcionalita v čipoch ESP32" NBU
"National Vulnerability Database CVE-2025-27840 Detail" NIST