Scoperti comandi nascosti nel chip ESP32: a rischio la sicurezza di miliardi di dispositivi IoT, ma il produttore rassicura

Un gruppo di ricercatori di sicurezza spagnoli ha individuato la presenza di alcuni comandi non documentati all'interno del firmware Bluetooth del microcontroller ESP32, un componente realizzato dall'azienda cinese Espressif e utilizzato in oltre un miliardo di dispoisitivi IoT in tutto il mondo, a fronte della sua flessibilità applicativa e al basso costo.

La scoperta, ad opera dei ricercatori Miguel Tarascó Acuña e Antonio Vázquez Blanco di Tarlogic Security, è stata presentata in occasione della conferenza RootedCON di Madrid, sollevando preoccupazioni sulla sicurezza di miliardi di dispositivi connessi. I due ricercatori hanno identificato ben 29 comandi nascosti nel firmware del chip ESP32, che potrebbero potenzialmente essere sfruttati per condurre attacchi informatici. Il problema è tracciato con il codice CVE-2025-27840.

Questi comandi, che appunto non sono inclusi nelle documentazioni tecniche ufficiali del microcontroller, potrebbero consentire a malintenzionati di manipolare la memoria del dispositivo, falsificare indirizzi MAC per impersonare altri dispositivi e iniettare pacchetti di dati non autorizzati. Le conseguenze potrebbero essere quelle di attacchi di impersonificazione e compromissioni persistenti verso  dispositivi come smartphone, computer, serrature intelligenti, dispositivi smart home o apparecchiature mediche, aggirando altri eventuali controlli di sicurezza.

La scoperta è avvenuta tramite un driver USB Bluetooth sviluppato da Tarlogic, che consente l'accesso diretto all'hardware senza dipendere dalle API specifiche del sistema operativo. Utilizzando questo strumento, i ricercatori hanno individuato comandi nascosti specifici del fornitore nel firmware Bluetooth dell'ESP32. I ricercatori hanno inzialmente parlato di "backdoor", ritrattando poi in seguito e ammettendo di aver generato eccessivo allarmismo.

Espressif ha rilasciato una nota ufficiale, affermando che i comandi individuati dai ricercatori sono comandi di debug inclusi per scopi di test interni e che fanno parte dell'implementazione Espressif del protocollo HCI (Host Controller Interface) utilizzato nella tecnologia Bluetooth per la comunicazione tra i vari livelli dello stack. La società afferma che il rischio associato alla presenza di questi comandi è "basso", ma si è impegnata a rilasciare un aggiornamento per eliminarli. Espressif ha inoltre precisato che i comandi in questione sono presenti solo nei chip della serie ESP32 originale e non nelle serie più recenti come ESP32-C, ESP32-S ed ESP32-H. I comandi, sempre secondo quanto dichiarato dalla società, non sono accessibili da remoto e non possono essere attivati tramite Bluetooth, segnali radio o Internet, ridimensionando il rischio di compromissione remota dei dispositivi ESP32. L'azienda ha infine raccomandato agli utenti di utilizzare sempre firmware ufficiali e di mantenerli aggiornati per garantire che i loro prodotti ricevano le ultime patch di sicurezza.

Nonostante il ridotto rischio di attacchi da remoto, persiste comunque la possibilità che i componenti vengano compromessi a monte, prima di essere installati all'interno dei dispositivi, in quelli che sono gli attacchi alla catena di fornitura. In questo modo, in linea teorica, diventerebbe possibile nascondere un malware con persistenza all'interno della memoria, per eseguire attacchi contro altri dispositivi.