Az IoT-eszközök rohamos terjedése egyre több biztonsági kockázatot vet fel, különösen, ha alapvető komponenseik rejtett sérülékenységeket tartalmaznak. A Tarlogic Security szakemberei nemrég eddig ismeretlen funkciókat fedeztek fel az ESP32 mikrovezérlőben, amelyek megfelelő kihasználás esetén lehetőséget biztosíthat kiberbűnözők számára, hogy jogosulatlanul hozzáférjenek különböző eszközökhöz, sőt akár teljes irányítást is szerezzenek felettük.
Az ESP32 az egyik legnépszerűbb Wi-Fi és Bluetooth kapcsolatot biztosító mikrovezérlő az IoT világában, mivel alacsony ára miatt széles körben alkalmazzák okosotthonokban, ipari rendszerekben és orvosi eszközökben egyaránt. 2023-ra világszerte már több mint egymilliárd darabot értékesítettek belőle világszerte.
A Tarlogic kutatása szerint ezek a chipek olyan nem dokumentált parancsokat tartalmaznak, amelyek révén a támadók mélyebb hozzáférést szerezhetnek a vezérlőhöz. Ennek következményei súlyosak lehetnek: rosszindulatú kódok futtatása, eszközök azonosítóinak meghamisítása vagy akár a teljes rendszer feletti irányítás megszerzése is lehetővé válik. Ez különösen veszélyes lehet olyan eszközök esetében, amelyek offline módban is működnek, hiszen így észrevétlenül megfertőzhetők.
A Bluetooth-technológia szintén kiemelt célpontja a kiberbűnözőknek, hiszen számtalan eszköz – okostelefonok, laptopok, autós rendszerek és orvosi berendezések – támaszkodik rá napi szinten. A Tarlogic felismerte, hogy a meglévő Bluetooth biztonsági audit eszközök gyakran elavultak, drágák és nehezen kezelhetők. Erre válaszul fejlesztették ki a BluetoothUSB nevű ingyenes eszközt, amely lehetővé teszi a Bluetooth eszközök biztonsági tesztelését függetlenül az operációs rendszertől vagy speciális hardverigénytől. Ezáltal a kutatók, gyártók és biztonsági szakemberek sokkal hatékonyabban ellenőrizhetik és védhetik meg az IoT-eszközöket a támadásokkal szemben. A Bluetooth-technológia biztonságának javítása érdekében a Tarlogic az elmúlt években több ingyenes módszertant és eszközt is bemutatott. 2023-ban fedezték fel, amely lehetővé teszi a Bluetooth eszközök azonosítását és összekapcsolását, valamint kihasználható személyes adatok, például nevek, címek vagy telefonszámok megszerzésére, amelyekkel támadásokat és csalásokat lehet végrehajtani. 2024-ben bemutatták a BSAM (Bluetooth Security Assessment Methodology) módszertant, amely az első módszertan a Bluetooth biztonsági auditok végrehajtására és a szabványt használó eszközök gyengeségeinek és sérülékenységeinek felderítésére.
A Tarlogic felfedezése rámutat az IoT-eszközök és a Bluetooth-technológia biztonságának fontosságára a mindennapi életünkben használt eszközök védelme érdekében. A gyártóknak és a kiberbiztonsági szakértőknek folyamatosan figyelemmel kell kísérniük a technológiai fejlesztéseket és a lehetséges sérülékenységeket, hogy biztosítsák a felhasználók adatainak és eszközeinek védelmét a növekvő számú és egyre kifinomultabb támadásokkal szemben.
