标题：
十亿装置使用的ESP32蓝牙芯片含隐藏指令
原文网址：
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11716
内文：
十亿装置使用的ESP32蓝牙芯片含隐藏指令
西班牙安全研究人员发现，由中国制造商乐鑫科技（Espressif）生产的ESP32微控制器晶
片含有未被公开的指令，这可能会对全球超过十亿台使用该芯片的物联网装置构成安全威
胁。这些未公开指令可被用于冒充受信任装置、未授权存取数据、攻击网络上的其他设备
，并可能建立长期持续性的攻击。
研究发现详情
这项发现由Tarlogic Security的研究人员Miguel Tarascó Acuña和Antonio Vázquez
Blanco所揭露。研究人员表示，ESP32是世界上最广泛使用的WiFi及蓝牙连接芯片之一。
ESP32使用于物联网设备中，因此这个安全隐患的影响范围相当广泛。
“Tarlogic Security发现ESP32微控制器存在未公开指令，这种微控制器能够启用WiFi和
蓝牙连接，并存在于数百万个市场上的物联网设备中，”Tarlogic在声明中表示，“利用
这些未公开指令，恶意行为者可以进行冒充攻击，并通过绕过程式码审核控制，永久性地
感染手机、电脑、智能锁或医疗设备等敏感装置。”
Tarlogic Security研究人员开发了一个基于C语言的USB蓝牙驱动程式，该驱动程式与硬
体无关且跨平台，允许直接访问硬件而不依赖于特定操作系统的API。借助这个新工具，
研究人员能够原始访问蓝牙流量，并发现了ESP32蓝牙韧体中隐藏的特定厂商命令（操作
码0x3F），这些命令允许对蓝牙功能进行低级别控制。
Tarlogic Security总共发现了29个未公开的指令，这些指令可用于：
- 内存操作（读/写RAM和闪存）
- MAC地址欺骗（设备冒充）
- LMP/LLCP数据套件注入
乐鑫科技从未在官方文档中记录这些指令的存在，使人质疑这些命令是刻意隐藏还是开发
过程中疏忽所致。此安全漏洞已被正式分配为CVE-2025-27840编号进行追踪。
安全风险
CVE-2025-27840带来的安全风险不容忽视，其中包括原始设备制造商(OEM)层面的恶意实
现以及供应链攻击的可能性。研究显示，依据不同设备处理蓝牙HCI命令的方式，攻击者
可能透过植入恶意韧体或建立未授权的蓝牙连接来远程执行这些命令，进而控制受害装置
。
外媒报导，在一个可以入侵并带有ESP32的物联网设备的环境条件下，攻击者将能够在ESP
内存内隐藏高级持续性威胁，并对其他设备执行蓝牙（或Wi-Fi）攻击，同时通过
Wi-Fi/蓝牙控制该设备。
研究人员进一步解释：“我们的发现揭示了攻击者可能完全掌控ESP32芯片的方法，特别
是透过操纵RAM与闪存的指令，攻击者能够在芯片中建立持久性后门。更令人担忧的是，
一旦在芯片中建立了持久性据点，攻击者便可利用ESP32的进阶蓝牙功能向周围环境中的
其他设备发起攻击，形成感染扩散。”
心得：
这就是NCC要对esp32收750元才能进口的原因(x
不能远端执行，需要能执行任意程式的权限才能使用
我的看法是为什么不使用jtag？

但NCC是收审查费而不是检验费0.0

西班牙没有收审查费查得出来，台湾收审查费查不出来

这个不是买来自己烧韧体吗? 这样还会有隐藏指令?ncc 审查不是只看频段吗?

NCC???XDXDXDXD

NCC审查就是看报关文件而已吧....

你懂什么叫softradio？

未公开的debug指令而已 每家都有

大部分的芯片都会有未公开的暂存器 像INTEL的芯片有成千上万的暂存器没有注明在外部文件上 主要的用途用在除错

这看起来就是厂教模式或是rd模式的指令吧

这个不是很多都有吗？有没有公开而已

undocumented/hidden == backdoor ?? 我只想到脸书说不要有社团说不要TPlink自己买esp开发板比较安全 XD

跟不要点.php网址一样吧XD

87才会还在合理化750, 根本就没能力发现好吗

台湾的这种资安资讯网站到底有没有在审稿啊zzz

原来是这样

蓝芽本来就危险技术 话说我本来想买这个但效能就那样好像也常用在realtime os 这年代还在32位元也劝退ncc因为这个要收750？ 目前感觉用途很侷限

就算NCC要收750，也不是每个产品都必须收

750只是看文件 又没本事查出问题

青鸟该滚了这里不是政治版

开发时留下的罢了

这不就厂商自己的ate mode之类?

怎么感觉台湾的资安有在唬烂人厂商没文件cmd到能直接无限发对攻击是一样嘛?XD