Троянский конь: в миллиарде устройств обнаружена лазейка для хакеров

Всего было найдено 29 скрытых команд, позволяющих манипулировать памятью чипа, изменять MAC-адреса устройств и внедрять пакеты в Bluetooth-соединения. Команды не были задокументированы производителем Espressif, и пока неясно, были ли они оставлены намеренно или по ошибке. Проблема получила идентификатор CVE-2025-27840. Эксплуатация этих функций может привести к атакам на уровне поставщиков и взлому устройств через вредоносное ПО или уязвимые Bluetooth-соединения. Компания Espressif заявила, что обнаруженные команды являются инструментами отладки и предназначены только для внутреннего тестирования. По их словам, эти функции не представляют угрозы безопасности, однако компания пообещала удалить их в будущих обновлениях программного обеспечения. Хотя возможность удаленной эксплуатации остается под вопросом, исследователи предупреждают, что злоумышленники с физическим доступом к устройству могут использовать ESP32 для скрытых атак. Например, они могут внедрять постоянные угрозы (APT), контролировать устройства через Wi-Fi или Bluetooth и распространять атаки на другие системы. «Если в массово используемом чипе, который установлен в миллиардах устройств, обнаружены скрытые команды, стоит задуматься: сколько подобных уязвимостей может существовать в других популярных компонентах – от смартфонов до серверного оборудования», – отметил член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов. Он уверен, что Россия движется в верном направлении, реализуя политику импортозамещения, которая в будущем позволит обеспечить технологическую независимость от западных решений. «Даже если мы не можем прямо сейчас наладить производство ряда изделий, это не повод опускать руки. Необходимо продолжать работу над разработкой, архитектурой, топологией и совершенствованием процессов», – заявил Маслов. По словам эксперта РОЦИТ, эксперта по борьбе с экстремизмом и блогера Алексея Трифонова, тот, кто контролирует код и микросхемы, контролирует и людей. Уязвимости и бэкдоры могут быть внедрены не только в чипы, но и в операционные системы, облачные сервисы, мессенджеры и социальные сети. «Мы не можем позволить себе зависеть от западных ИТ-гигантов, которые способны в любой момент отключить нас или, что еще хуже, тайно следить за пользователями», – заявил он. Полный контроль над аппаратным и программным обеспечением становится вопросом национальной безопасности, без которого невозможно обеспечить независимость и защиту в современном мире, заключил эксперт. Ранее российские общественники прокомментировали инцидент с браузером Google. ИИ в поисковике выдает запрещенную в РФ книгу Адольфа Гитлера как произведение искусства. Фото: unsplash.com