一位安全研究員提出了一種本地訪問的技術,可以完全繞過流行的ESP32物聯網芯片安全措施,植入惡意軟件並且永遠無法移除。樂鑫公司已經通過公告確認了該漏洞。該攻擊方式還能夠提取設備的加密密鑰,以繞過設備幾乎所有安全設置。
ESP32芯片對業界至關重要,因爲它爲許多設備提供了帶有WiFi和藍牙功能的雙核芯片。2018年1月,製造商樂鑫宣佈實現交付1億設備里程碑。ESP32是許多設備的核心組件,包括LiFX燈泡等,同時也是AWS物聯網平臺AWS FreeRTOS系統支持的兼容設備,以及微軟Azure物聯網平臺兼容設備。
安全研究員LimitedResults與樂鑫協調了有關公告,並披露了漏洞共濟細節。該攻擊針對eFuse(電子保險絲),一種一次性燒寫的可編程內存。ESP32官方文檔描述了攻擊實現原理:“每個eFuse都包含1比特位空間,可以通過變成改寫成1,同時無法被恢復成0。”通過將負載燒寫入設備的eFuse,軟件更新無法重置保險絲,只能物理替換芯片,或者丟棄設備。一個核心風險是共濟不是完全替換固件,因此設備看上去可以正常工作。在供應鏈端和轉售的情況下,該漏洞會造成攻擊的持續性是大問題。在這種情況下,供應鏈中的一方將負載燒入ESP32的eFuse之後,會造成設備的永久損壞。類似的供應鏈攻擊發生在2010年,思科的路由器在運輸途中被燒寫入定製負載。
該攻擊的影響遠大於簡單業餘愛好者設備或者低成本物聯網設備。LimitedResults告訴InfoQ:
使用ESP32內建安全措施的設備不僅僅是燈泡或者聯網的溫控器。對於有物理訪問能力的黑客來說,我們的溫控器沒有任何防護能力。我在非常昂貴的設備中發現過使用ESP32的安全機制,黑客不僅能夠破化設備本身,還能使用未授權的資源以及其子系統來破壞整個環境。
CVE-2019-17391描述了一種通過電壓毛刺來攻擊設備加密的方式,這是一種衆所周知的攻擊方式,攻擊者向設備引腳發送高/低電平脈衝,導致芯片指令執行混亂。例如在安全檢查過程中,向CPU的復位引腳發送一個高電平,可以引起指令丟棄。LimitedResults估計,使用大約1000美元硬件成本,花費1天時間,可以重現這種攻擊。
硬件針對漏洞的緩解技術非常受限。作爲通用技術的可信平臺模塊(Trusted Platform Module,TPM)同樣已經被破解,例如2019年發現的TPM Fail,2018年發現的TPM Genie等。AWS IoT Core服務安全建議可以降低可以對類似共濟或者任何其他本地訪問攻擊減小範圍。特別是建議中提到的給每個設備使用一個唯一標識,可以讓物聯網設備提供商禁用或限制使用已知受損設備和長期未更新設備。
由於無法恢復這些設備,依賴ESP32的機構應該考慮進行固件升級,以檢查芯片的eFuses,同時對有問題的芯片進行召回,避免其重新流入供應鏈。
原文鏈接: