Le 6 aziende più antiche del mondo ancora attive, la numero 1 è attiva da 1.400 anni
Qual è l'azienda più antica del mondo? In che anno è stata fondata l'azienda più antica del mondo? Scopriamolo insieme!
Scoperta falla di sicurezza nel chip Bluetooth utilizzato da un miliardo di dispositivi in tutto il mondo
L'ESP32 è un chip a basso costo estremamente popolare del produttore cinese Espressif, che si stima verrà utilizzato in oltre 1 miliardo di dispositivi in tutto il mondo entro il 2023 e contiene una "backdoor" non documentata che può essere sfruttata per attacchi.
Questi comandi non documentati consentono l'impersonificazione di dispositivi attendibili, l'accesso non autorizzato ai dati, il reindirizzamento ad altri dispositivi sulla rete e la possibilità di stabilire la persistenza.
La scoperta è stata resa pubblica dai ricercatori spagnoli di sicurezza informatica Miguel Tarascó Acuña e Antonio Vázquez Blanco del team Tarlogic Security. La dichiarazione è stata fatta alla conferenza RootedCON di Madrid come segue:
Tarlogic Security ha scoperto una backdoor nell'ESP32, una linea di microcontrollori che supportano la connettività WiFi e Bluetooth e sono presenti in milioni di dispositivi IoT sul mercato. Sfruttando questa backdoor, i malintenzionati potrebbero eseguire attacchi di spoofing e infettare in modo permanente dispositivi sensibili come telefoni cellulari, computer, serrature intelligenti o dispositivi medici, aggirando il controllo del codice.
L'ESP32 è uno dei chip più utilizzati al mondo per la connettività Wi-Fi + Bluetooth nei dispositivi IoT (Internet of Things), quindi il rischio che esistano delle backdoor è elevato.
Backdoor in ESP32
In una presentazione al RootedCON, i ricercatori di Tarlogic hanno spiegato che l'interesse per la ricerca sulla sicurezza Bluetooth è diminuito, ma non perché il protocollo o le sue implementazioni siano diventati più sicuri.
Al contrario, la maggior parte degli attacchi presentati l'anno scorso non disponeva di strumenti funzionanti, era incompatibile con l'hardware più diffuso e utilizzava strumenti obsoleti o non manutenuti, ampiamente incompatibili con i sistemi moderni.
Tarlogic ha sviluppato un nuovo driver USB Bluetooth multipiattaforma, indipendente dall'hardware e basato su C che consente l'accesso diretto all'hardware senza dover ricorrere ad API specifiche del sistema operativo.
Grazie a questo nuovo strumento, che consente l'accesso raw al traffico Bluetooth, Tarlogic ha scoperto comandi nascosti specifici del fornitore (Opcode 0x3F) nel firmware Bluetooth ESP32, consentendo un controllo di basso livello delle funzioni Bluetooth.
In totale, hanno trovato 29 comandi non documentati, descritti collettivamente come "backdoor", che possono essere sfruttati per la manipolazione della memoria (lettura/scrittura di RAM e Flash), lo spoofing degli indirizzi MAC (spoofing dei dispositivi) e l'invio di pacchetti LMP/LLCP. Il problema è attualmente monitorato con l'identificatore CVE-2025-27840.
Rischi potenziali
I rischi derivanti da questi comandi includono l'implementazione dannosa a livello OEM e attacchi alla supply chain.
A seconda del modo in cui lo stack Bluetooth gestisce i comandi HCI sul dispositivo, potrebbe essere possibile lo sfruttamento di una backdoor remota tramite firmware dannoso o una connessione Bluetooth falsificata.
Ciò è particolarmente vero se l'aggressore ha già accesso root, installa malware o invia un aggiornamento dannoso al dispositivo, ottenendo un accesso di basso livello.
Tuttavia, in generale, avere accesso fisico all'interfaccia USB o UART di un dispositivo è molto più pericoloso e costituisce uno scenario di attacco più realistico.
" In uno scenario in cui è possibile compromettere un dispositivo IoT che esegue un chip ESP32, si potrebbe nascondere un APT (Advanced Persistent Threat) nella memoria ESP ed eseguire attacchi Bluetooth (o Wi-Fi) contro altri dispositivi, controllando allo stesso tempo il dispositivo tramite Wi-Fi/Bluetooth ", spiega il team. La nostra scoperta permetterebbe il pieno controllo del chip ESP32 e manterrebbe la persistenza al suo interno tramite comandi che consentono la modifica di RAM e Flash. Inoltre, con la persistenza all'interno del chip, sarebbe possibile diffonderla ad altri dispositivi, poiché l'ESP32 consente attacchi Bluetooth avanzati .
WebTech360 continuerà ad aggiornare le informazioni su questo problema, si prega di prestare attenzione.
Come rivedere le notifiche eliminate su Samsung
Nella nuova versione One UI 3.0 di Samsung, gli utenti possono usufruire di molte altre funzionalità interessanti e attraenti, come la possibilità di rivedere le notifiche eliminate sulla barra di stato Samsung.
Auguri per la giornata internazionale degli uomini, auguri del 19 novembre per fidanzato, amante, marito dolce e romantico
Quali sono i migliori e più brevi auguri per il 19 novembre alla persona amata? Se sei a corto di idee, questo articolo ti suggerirà degli auguri significativi per il 19 novembre.
Come indossare un maglione con stile e comodità
I maglioni basic sono un capo indispensabile in tutti i nostri guardaroba autunnali e invernali. Ecco come abbinare i maglioni in modo semplice ma alla moda.
Il modo più semplice per trasformare i nemici in amici
Avere dei nemici è sempre una situazione spiacevole. Fortunatamente, puoi trasformare i tuoi nemici in amici. Ecco alcuni semplici modi per riparare una relazione, accessibili a tutti.
Quante persone possono utilizzare contemporaneamente un account Netflix?
Poiché Netflix è facilmente accessibile su tutti i dispositivi, inclusi telefoni, tablet, console di gioco e dispositivi di streaming, potresti chiederti quante persone possono guardare Netflix contemporaneamente con lo stesso account.
Modi per centrare le celle in una tabella in Word
Centrare le celle in Word quando si lavora con le tabelle è un'operazione che deve essere eseguita per riformattare il testo in ogni cella secondo le normative, nonché per creare una tabella Word con un layout più bello e facile da vedere.
Samsung collabora con OpenAI per sviluppare la TV AI, promettendo molte funzionalità interessanti
Secondo quanto riferito, Samsung Electronics starebbe collaborando con OpenAI a un ambizioso progetto congiunto per sviluppare TV AI che integrino tecnologie di intelligenza artificiale all'avanguardia nel settore.
Laggiornamento 1.21 di Minecraft ha una data di uscita ufficiale
Dopo numerose istantanee, aggiunte e modifiche, l'aggiornamento è completo e pronto per il rilascio. È stata appena svelata la data di uscita ufficiale di Minecraft 1.21!
Rifatevi gli occhi con lesibizione del robot cinese che balla con maestria
In una straordinaria dimostrazione di creatività, 16 robot umanoidi della principale azienda cinese di robotica Unitree sono stati i protagonisti dell'annuale Gala del Festival di Primavera della CCTV.
Perché gli indumenti asciugati naturalmente e quelli asciugati in lavatrice sono diversi?
Perché i vestiti e gli asciugamani asciugati in lavatrice sono morbidi e lisci, ma quando vengono appesi ad asciugare risultano spesso ruvidi o ruvidi?
Perché la NASA utilizza un dispositivo con 36 pixel per monitorare luniverso?
I satelliti della NASA utilizzano uno strumento di imaging chiamato Resolve, dotato di un sensore di soli 36 pixel.
Errore Impossibile connettersi alliTunes Store: ecco come risolverlo
Quando si apre l'App Store su iPhone, iPad, Mac per scaricare applicazioni o giochi, viene visualizzato l'errore Impossibile connettersi a iTunes Store. Ecco la soluzione.
Reti private virtuali utili su Google Chrome
Con VPN (Virtual Private Network) si intende semplicemente un sistema di rete privata virtuale, in grado di creare una connessione di rete basata su un determinato fornitore di servizi.
Come realizzare un video damore per San Valentino
San Valentino è il giorno in cui le coppie possono esprimere i propri sentimenti reciproci. Puoi creare biglietti di San Valentino da inviare alla tua dolce metà, collage di foto per festeggiare San Valentino o creare video per San Valentino.