6 старейших компаний мира, которые все еще работают. Компания № 1 работает уже 1400 лет.
Какая компания самая старая в мире? В каком году была основана старейшая компания в мире? Давайте узнаем вместе!
В чипе Bluetooth, используемом миллиардом устройств по всему миру, обнаружена уязвимость безопасности
ESP32 — чрезвычайно популярный недорогой чип от китайского производителя Espressif, который, по оценкам, к 2023 году будет использоваться более чем в 1 миллиарде устройств по всему миру. Он содержит недокументированную «бэкдор», который можно использовать для атак.
Эти недокументированные команды позволяют выдавать себя за доверенные устройства, осуществлять несанкционированный доступ к данным, перенаправляться на другие устройства в сети и обеспечивать возможность сохранения активности.
Открытие было обнародовано испанскими исследователями в области кибербезопасности Мигелем Тараско Акунья и Антонио Васкесом Бланко из команды Tarlogic Security. На конференции RootedCON в Мадриде было сделано следующее заявление:
Компания Tarlogic Security обнаружила уязвимость в ESP32 — линейке микроконтроллеров, поддерживающих подключение по WiFi и Bluetooth и присутствующих в миллионах устройств Интернета вещей на рынке. Использование этого бэкдора позволит злоумышленникам осуществлять атаки с подменой пароля и навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинские приборы, обходя проверку кода.
ESP32 — один из наиболее широко используемых в мире чипов для подключения по Wi-Fi + Bluetooth в устройствах Интернета вещей (IoT), поэтому риск наличия каких-либо уязвимостей огромен.
Бэкдор в ESP32
В презентации на RootedCON исследователи Tarlogic объяснили, что интерес к исследованиям безопасности Bluetooth снизился, но не потому, что протокол или его реализации стали более безопасными.
Вместо этого большинство атак, представленных в прошлом году, не имели рабочих инструментов, были несовместимы с распространенным оборудованием и использовали устаревшие или неподдерживаемые инструменты, которые в значительной степени несовместимы с современными системами.
Компания Tarlogic разработала новый, основанный на языке C, аппаратно-независимый и кроссплатформенный драйвер USB Bluetooth, который обеспечивает прямой доступ к оборудованию без использования API-интерфейсов, специфичных для операционной системы.
Вооружившись этим новым инструментом, который обеспечивает прямой доступ к трафику Bluetooth, компания Tarlogic обнаружила скрытые специфичные для производителя команды (Opcode 0x3F) в прошивке ESP32 Bluetooth, что позволяет осуществлять низкоуровневое управление функциями Bluetooth.
Всего они обнаружили 29 недокументированных команд, которые в совокупности называются «бэкдором», которые можно использовать для манипуляций с памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адресов (подмена устройства) и отправки пакетов LMP/LLCP. В настоящее время проблема отслеживается под идентификатором CVE-2025-27840.
Потенциальные риски
Риски, возникающие в результате использования этих команд, включают вредоносное развертывание на уровне OEM-производителей и атаки на цепочку поставок.
В зависимости от того, как стек Bluetooth обрабатывает команды HCI на устройстве, удаленная эксплуатация бэкдора может быть возможна с помощью вредоносной прошивки или поддельного соединения Bluetooth.
Это особенно актуально, если злоумышленник уже имеет права root, устанавливает вредоносное ПО или устанавливает вредоносное обновление на устройство, открывая низкоуровневый доступ.
Однако в целом наличие физического доступа к интерфейсу USB или UART устройства является гораздо более опасным и более реалистичным сценарием атаки.
« В сценарии, когда вы можете скомпрометировать IoT-устройство, работающее на чипе ESP32, вы сможете скрыть APT (Advanced Persistent Threat) в памяти ESP и выполнять атаки Bluetooth (или Wi-Fi) на другие устройства, одновременно управляя устройством по Wi-Fi/Bluetooth », — поясняет команда. « Наше открытие позволило бы полностью контролировать чип ESP32 и поддерживать постоянство внутри чипа с помощью команд, которые позволяют модифицировать ОЗУ и флэш-память. Кроме того, благодаря постоянству внутри чипа стало бы возможным распространение на другие устройства, поскольку ESP32 позволяет проводить продвинутые атаки Bluetooth » .
WebTech360 продолжит обновлять информацию по этому вопросу, обратите внимание.
Как просмотреть удаленные уведомления на Samsung
В новой версии One UI 3.0 на Samsung пользователи могут использовать множество других интересных и привлекательных функций, таких как просмотр удаленных уведомлений в строке состояния Samsung.
Пожелания к Международному мужскому дню, пожелания на 19 ноября парню, возлюбленному, мужу — милые и романтичные
Какие самые лучшие и короткие пожелания на 19 ноября вы можете пожелать своей второй половинке? Если у вас закончились идеи, эта статья предложит вам значимые пожелания на 19 ноября.
Как носить свитер стильно и удобно
Базовые свитера являются неотъемлемой частью нашего осеннего и зимнего гардероба. Вот как можно просто и модно сочетать свитера.
Самый простой способ превратить врагов в друзей
Наличие врагов — всегда неприятная ситуация. К счастью, вы можете превратить своих врагов в друзей. Вот несколько простых способов наладить отношения, которые доступны каждому.
Сколько человек могут одновременно пользоваться одной учетной записью Netflix?
Поскольку Netflix легко доступен на всех устройствах, включая телефоны, планшеты, игровые консоли и потоковые устройства, вы можете задаться вопросом, сколько людей могут смотреть Netflix одновременно, используя одну учетную запись.
Способы центрирования ячеек в таблице в Word
Центрирование ячеек в Word при работе с таблицами — операция, которую необходимо выполнить для переформатирования текста в каждой ячейке в соответствии с правилами, а также для создания таблицы Word с более красивым и удобным для просмотра оформлением.
Samsung сотрудничает с OpenAI для разработки AI TV, обещая множество интересных функций
Сообщается, что Samsung Electronics сотрудничает с OpenAI в рамках амбициозного совместного проекта по разработке телевизоров с искусственным интеллектом, в которых будут реализованы ведущие в отрасли технологии искусственного интеллекта.
Обновление Minecraft 1.21 имеет официальную дату релиза
После множества снимков, дополнений и изменений обновление завершено и готово к выпуску. Только что объявлена официальная дата выхода Minecraft 1.21!
Полюбуйтесь выступлением искусно танцующего китайского робота.
16 человекоподобных роботов от ведущей китайской робототехнической компании Unitree продемонстрировали потрясающую креативность и оказались в центре внимания на ежегодном гала-концерте Весеннего фестиваля CCTV.
Почему вещи, высушенные естественным путем, отличаются от вещей, высушенных в машине?
Почему одежда и полотенца, высушенные в машинке, мягкие и гладкие, но при сушке в сушилке они часто становятся шершавыми и грубыми?
Почему НАСА использует устройство с 36 пикселями для наблюдения за Вселенной?
Спутники НАСА используют инструмент визуализации Resolve, датчик которого имеет разрешение всего 36 пикселей.
Ошибка «Невозможно подключиться к iTunes Store». Вот как ее исправить
При открытии App Store на iPhone, iPad, Mac для загрузки приложений или игр появляется ошибка «Не удается подключиться к iTunes Store». Вот решение.
Полезные виртуальные частные сети в Google Chrome
VPN (виртуальная частная сеть) — это система виртуальной частной сети, способная создавать сетевое соединение на основе определенного поставщика услуг.
Как сделать любовное видео ко Дню святого Валентина
День святого Валентина — это день, когда пары могут выразить свои чувства друг к другу. Вы можете создавать валентинки и отправлять их своим близким, делать коллажи из фотографий, чтобы отпраздновать День святого Валентина, или создавать видеоролики ко Дню святого Валентина.