標題：
十億裝置使用的ESP32藍牙晶片含隱藏指令
原文網址：
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11716
內文：
十億裝置使用的ESP32藍牙晶片含隱藏指令
西班牙安全研究人員發現，由中國製造商樂鑫科技（Espressif）生產的ESP32微控制器晶
片含有未被公開的指令，這可能會對全球超過十億台使用該晶片的物聯網裝置構成安全威
脅。這些未公開指令可被用於冒充受信任裝置、未授權存取數據、攻擊網絡上的其他設備
，並可能建立長期持續性的攻擊。
研究發現詳情
這項發現由Tarlogic Security的研究人員Miguel Tarascó Acuña和Antonio Vázquez
Blanco所揭露。研究人員表示，ESP32是世界上最廣泛使用的WiFi及藍牙連接晶片之一。
ESP32使用於物聯網設備中，因此這個安全隱患的影響範圍相當廣泛。
「Tarlogic Security發現ESP32微控制器存在未公開指令，這種微控制器能夠啟用WiFi和
藍牙連接，並存在於數百萬個市場上的物聯網設備中，」Tarlogic在聲明中表示，「利用
這些未公開指令，惡意行為者可以進行冒充攻擊，並通過繞過程式碼審核控制，永久性地
感染手機、電腦、智能鎖或醫療設備等敏感裝置。」
Tarlogic Security研究人員開發了一個基於C語言的USB藍牙驅動程式，該驅動程式與硬
體無關且跨平台，允許直接訪問硬體而不依賴於特定操作系統的API。借助這個新工具，
研究人員能夠原始訪問藍牙流量，並發現了ESP32藍牙韌體中隱藏的特定廠商命令（操作
碼0x3F），這些命令允許對藍牙功能進行低級別控制。
Tarlogic Security總共發現了29個未公開的指令，這些指令可用於：
- 記憶體操作（讀/寫RAM和閃存）
- MAC地址欺騙（設備冒充）
- LMP/LLCP數據套件注入
樂鑫科技從未在官方文檔中記錄這些指令的存在，使人質疑這些命令是刻意隱藏還是開發
過程中疏忽所致。此安全漏洞已被正式分配為CVE-2025-27840編號進行追蹤。
安全風險
CVE-2025-27840帶來的安全風險不容忽視，其中包括原始設備製造商(OEM)層面的惡意實
現以及供應鏈攻擊的可能性。研究顯示，依據不同設備處理藍牙HCI命令的方式，攻擊者
可能透過植入惡意韌體或建立未授權的藍牙連接來遠程執行這些命令，進而控制受害裝置
。
外媒報導，在一個可以入侵並帶有ESP32的物聯網設備的環境條件下，攻擊者將能夠在ESP
記憶體內隱藏高級持續性威脅，並對其他設備執行藍牙（或Wi-Fi）攻擊，同時通過
Wi-Fi/藍牙控制該設備。
研究人員進一步解釋：「我們的發現揭示了攻擊者可能完全掌控ESP32晶片的方法，特別
是透過操縱RAM與閃存的指令，攻擊者能夠在晶片中建立持久性後門。更令人擔憂的是，
一旦在晶片中建立了持久性據點，攻擊者便可利用ESP32的進階藍牙功能向周圍環境中的
其他設備發起攻擊，形成感染擴散。」
心得：
這就是NCC要對esp32收750元才能進口的原因(x
不能遠端執行，需要能執行任意程式的權限才能使用
我的看法是為什麼不使用jtag？

但NCC是收審查費而不是檢驗費0.0

西班牙沒有收審查費查得出來，臺灣收審查費查不出來

這個不是買來自己燒韌體嗎? 這樣還會有隱藏指令?ncc 審查不是只看頻段嗎?

NCC???XDXDXDXD

NCC審查就是看報關文件而已吧....

你懂什麼叫softradio？

未公開的debug指令而已 每家都有

大部分的晶片都會有未公開的暫存器 像INTEL的晶片有成千上萬的暫存器沒有註明在外部文件上 主要的用途用在除錯

這看起來就是廠教模式或是rd模式的指令吧

這個不是很多都有嗎？有沒有公開而已

undocumented/hidden == backdoor ?? 我只想到臉書說不要有社團說不要TPlink自己買esp開發板比較安全 XD

跟不要點.php網址一樣吧XD

87才會還在合理化750, 根本就沒能力發現好嗎

臺灣的這種資安資訊網站到底有沒有在審稿啊zzz

原來是這樣

藍芽本來就危險技術 話說我本來想買這個但效能就那樣好像也常用在realtime os 這年代還在32位元也勸退ncc因為這個要收750？ 目前感覺用途很侷限

就算NCC要收750，也不是每個產品都必須收

750只是看文件 又沒本事查出問題

青鳥該滾了這裡不是政治版

開發時留下的罷了

這不就廠商自己的ate mode之類?

怎麼感覺台灣的資安有在唬爛人廠商沒文件cmd到能直接無限發對攻擊是一樣嘛?XD