전세계 IoT 장치 위협하는 블루투스 칩 보안 취약점
중국에서 제조된 한 블루투스 칩에서 '숨겨진 기능'이 발견되어 전 세계 수많은 IoT 장치가 위협받고 있다. 보안 연구소 Tarlogic에 따르면, 이 취약점은 수백만 대의 가정용 IoT 장치에 사용되는 ESPC32 블루투스 칩에서 발견되었다. 이 결함으로 인해 악의적인 행위자가 장치와 이를 통해 전송되는 민감한 데이터에 접근할 수 있다.
이 ESP32 칩은 중국의 Espressif사가 제조한 것으로, 대당 약 2달러의 저렴한 가격 덕분에 2023년까지 전세계적으로 10억 개 이상 판매되었다. 비용이 저렴함에 따라 가정용 블루투스 IoT 장치에서 널리 사용되고 있다. Tarlogic은 이 칩에 문서화되지 않은 명령어들이 포함되어 있어 임의 수정을 가능하게 하고 추가적인 기능을 잠금 해제함으로써 신원 도용까지도 일으킬 수 있다고 지적했다.
Tarlogic은 이 기능을 초기에는 "백도어"라고 지칭했으나, 이후에는 "숨겨진 기능"이라 표현하는 것이 더 정확하다고 밝혔다. 이는 ESP32 컨트롤러의 메모리를 읽고 수정할 수 있게 하는 특정 작업을 허용한다. 이 명령어들은 위협 행위자가 공급망 공격 및 정교한 공격을 실행하고, 알려진 장치로 위장하며, 스마트폰과 스마트 장치에 오프라인 상태에서도 연결할 수 있게 한다.
이러한 명령어의 악용 목적은 장치에 저장된 기밀 정보를 얻고, 개인 및 기업의 대화를 가로채며, 개인과 조직에 대한 감시를 수행하는 것이다.
출처 : 원문 보러가기