「攻撃者がソフトなりハードなりを改造できたらコマンドを悪用できる」という内容だが、改造できる前提ならコマンドなんて使わずデータ抜き放題だろ。こんなのを無批判に転載するITmedia、記事のチェック体制ないのか?
“中国Espressif Systems製のMCU(マイクロコントローラ)「ESP32」にバックドアを発見したと発表した。”
https://x.com/Tarlogic/status/1898684997327790480 Tarlogic社が『バックドアではなく隠し機能と呼ぶ方が適切であることを明確にしたいと思います』と大きくトーンダウンしてるのでこの記事も修正されると思う。/修正されたようです
ベンダー定義のHCIコマンドに非公開部分があるってことかな。詳細はこのセキュリティ会社が後日公開みたいな。
改造できるシチュエーションなら改造して悪用できます!って言われてもな。そりゃなんでもそうだよ。
びびったわー。itmediaってこんなクソに成り下がったのか。
『いくら分厚い壁に鉄壁の電子ロックに瞬時に駆けつける警備保障があっても、内部が開錠鍵を悪用されたら無意味』みたいな話かな
私が世間知らずなだけなんだけど、ESP32って民生品にも使われてるんだ。なんか電子工作のマイコンなイメージが強くて、家電や産業機器に載ってるとは思ってなかったからイメージアップ。言われてみると当然か。
元記事がBluetoothのセキュリティツール屋さんで、商売柄かセンセーショナルなタイトルをつけてた感はあるな
バックドアではなく隠し機能と呼ぶ方が適切とした。
わーこれはマジやばい(機能じゃなくて対象が)。メンテされてる機器なんて1割もないだろう。うちにも多分20個以上あるわ
"中国Espressif Systems製のMCU(マイクロコントローラ)「ESP32」にバックドア(後に「隠し機能」に訂正)を発見" 騒ぎすぎな気もするが、なにせ中国には例の法律があるからなあ
使用者の意図しない機能があるのは問題。だが、それ経由で侵入できるわけではなさそう
管理者権限をハックしなくてもできるのか?のほうが重要だと考えた
訂正文入ったけどまだ不十分、ボットネットの構築とか他の脆弱性でも組み合わせない限りリモートの第三者には不可能だろ。
stuxnetのようなハッキングを踏まえると、商用電力グリッドにつながるところに使われていると、ギャップが有るつもりだったが、
この記事をおすすめしました
デバッグ目的か何かで入ってた機能がバレちゃったか、あるいは出荷時に消し忘れたか。耐タンパ性を前提とする機器ではないので実装が雑だった感じか。ESP32安くて性能良いのでIoT機器に採用例が多いはず。
設計的に瑕疵のない想定した機能。ただし非公表…それについては過失や悪意があったか不明だが、メーカー責任よりも利用者側(悪意を持って利用した側?)に責任を押し付けたって感じ。
https://x.com/itmedia_news/status/1898647458894565379
ITmediaとかクロステックみたいな専門家不在の技術メディアって、結構ひどいミスしても全然謝らないよね。「発表を翻訳しただけでーす」は無責任すぎると思うんだけど。
10億台超のIoT機器に搭載の「ESP32」に悪用可能なバックドア発見
「攻撃者がソフトなりハードなりを改造できたらコマンドを悪用できる」という内容だが、改造できる前提ならコマンドなんて使わずデータ抜き放題だろ。こんなのを無批判に転載するITmedia、記事のチェック体制ないのか?
“中国Espressif Systems製のMCU(マイクロコントローラ)「ESP32」にバックドアを発見したと発表した。”
https://x.com/Tarlogic/status/1898684997327790480 Tarlogic社が『バックドアではなく隠し機能と呼ぶ方が適切であることを明確にしたいと思います』と大きくトーンダウンしてるのでこの記事も修正されると思う。/修正されたようです
ベンダー定義のHCIコマンドに非公開部分があるってことかな。詳細はこのセキュリティ会社が後日公開みたいな。
改造できるシチュエーションなら改造して悪用できます!って言われてもな。そりゃなんでもそうだよ。
びびったわー。itmediaってこんなクソに成り下がったのか。
『いくら分厚い壁に鉄壁の電子ロックに瞬時に駆けつける警備保障があっても、内部が開錠鍵を悪用されたら無意味』みたいな話かな
私が世間知らずなだけなんだけど、ESP32って民生品にも使われてるんだ。なんか電子工作のマイコンなイメージが強くて、家電や産業機器に載ってるとは思ってなかったからイメージアップ。言われてみると当然か。
元記事がBluetoothのセキュリティツール屋さんで、商売柄かセンセーショナルなタイトルをつけてた感はあるな
バックドアではなく隠し機能と呼ぶ方が適切とした。
わーこれはマジやばい(機能じゃなくて対象が)。メンテされてる機器なんて1割もないだろう。うちにも多分20個以上あるわ
"中国Espressif Systems製のMCU(マイクロコントローラ)「ESP32」にバックドア(後に「隠し機能」に訂正)を発見" 騒ぎすぎな気もするが、なにせ中国には例の法律があるからなあ
使用者の意図しない機能があるのは問題。だが、それ経由で侵入できるわけではなさそう
管理者権限をハックしなくてもできるのか?のほうが重要だと考えた
訂正文入ったけどまだ不十分、ボットネットの構築とか他の脆弱性でも組み合わせない限りリモートの第三者には不可能だろ。
stuxnetのようなハッキングを踏まえると、商用電力グリッドにつながるところに使われていると、ギャップが有るつもりだったが、
この記事をおすすめしました
デバッグ目的か何かで入ってた機能がバレちゃったか、あるいは出荷時に消し忘れたか。耐タンパ性を前提とする機器ではないので実装が雑だった感じか。ESP32安くて性能良いのでIoT機器に採用例が多いはず。
設計的に瑕疵のない想定した機能。ただし非公表…それについては過失や悪意があったか不明だが、メーカー責任よりも利用者側(悪意を持って利用した側?)に責任を押し付けたって感じ。
https://x.com/itmedia_news/status/1898647458894565379
ITmediaとかクロステックみたいな専門家不在の技術メディアって、結構ひどいミスしても全然謝らないよね。「発表を翻訳しただけでーす」は無責任すぎると思うんだけど。