十亿设备所使用的蓝牙芯片中发现未记录的指令

据外媒报道，全球数10亿台物联网设备中广泛使用的ESP32芯片存在安全漏洞。他们于3月9日在马德里的 RootedCON 大会上展示了这一研究成果。研究人员发现的这些未记录命令可实现多种恶意操作，如欺骗受信任设备、未经授权访问数据等，还可能建立长期持久性。总共发现了 29 个未记录指令，涉及内存操作、MAC 地址欺骗等。3 月 25 日，乐鑫发表声明称这些是用于内部测试的调试命令，是 HCI 协议实现的一部分，本身虽不会构成安全风险，但仍将在未来软件更新中移除。