Začátek března patříl veletrhu Embedded World. Jednou z firem, kde měli na stánku velmi živo byl i Espressif. Jeho moduly patří mezi tuzemskými výrobci mezi velmi často používané díky dobrému poměru cena/výkon i dostupnosti a podpoře. Na stánku ale kromě nových produktů trávili specialisté spoustu času odpovídáním na dotazy ohledně aféry, kterou rozpoutal španělský Tarlogic svojí několikrát upravenou zprávou o skrytých funkcích a zranitelnostech čipů Espressif.
Už přístup samotné firmy Tarlogic k vlastnímu tvrzení vyvolal dojem, že z jedné prezentace pro konferenci RootedCon zkoušejí udělat bouři ve sklenici vody. Řada dalších zdrojů, které informace převzala, už se neobtěžovala s její opravou nebo dodáním faktů. Z druhé strany se vzedmula vlna kvalifikovaných názorů, potvrzujících, že se Tarlogic mýlí.
O co tedy šlo?
Tarlogic objevil knihovnu ladících příkazů HCI pro bezdrátové moduly, kterou lze s využitím knihoven Espressif i dalších nezávislých softwarových platforem použít k modifikaci softwarových parametrů i bezpečnostních funkcí Bluetooth. Perličkou je, že i když se chlubil využitím reverzního inženýrství, mohl tuto knihovnu jednoduše najít i na GitHub. Stejné nástroje i ladící postupy používá většina firem, které čipy a moduly vyrábí. Poměrně dobře to shrnují i další zdroje (Darkmentor / Cheriot), které se k věci vyjadřují kvalifikovaně.
Oficiální vyjádření Espressif popisuje celou věc po technické stránce poměrně stručně: i když tyto ladicí příkazy existují, nemohou samy o sobě představovat bezpečnostní riziko pro čipy ESP32, protože je nelze vzdáleně odesílat na chip přes Bluetooth. Pokud je ESP32 použit v samostatné aplikaci a není připojen k hostitelskému čipu, na kterém běží hostitel BLE, výše uvedené příkazy HCI nejsou vystaveny a nehrozí žádná bezpečnostní hrozba. Tyto příkazy jsou přítomny pouze v čipech ESP32 a nejsou přítomny v žádném z čipů řady ESP32-C, ESP32-S a ESP32-H.
Espressif poskytnul softwarovou opravu pro odstranění těchto nezdokumentovaných příkazů, která je dostupná v ESP-IDF ve verzi v5.0 a vyšších. Více informací v souboru components/bt/include/esp32/include/esp_bt_vs.h (např. na GitHub).Podrobnější info pro vývojáře Espressif vydal také na svém blogu.
Fakt, že nešlo a nejde o chybu, které by jakýmkoli způsobem ovlivnila bezpečnost nebo důvěryhodnost zařízení s moduly a čipy Espressif HW serveru potvrdilo i vývojové centrum Espressif v Brně. Stejný závěr lze po měsíci odvodit i z databáze amerického NIST, kde u případu 27840) nepřibývají od 10.3. žádné další záznamy.
Co si z této události odnést?
Z našeho pohledu jsou důležité tři věci:
Vyplatí se počkat. Nemá smysl přehnaně a překotně reagovat na každé oznámení podobného typu bez ověření informací z relevantních zdrojů.
Pro vývojáře i reverzní inženýry bude dobré pamatovat si, jak nešikovně si počínal Tarlogic.
A nakonec, že cokoli dáte/najdete na GitHub, může být použito různými způsoby.
https://www.espressif.com/en/news/response_esp32_bluetooth?position=0&list=O2iwPsF2CQi1bgU67EOshP7lD2hIdgPx9vgvWarTcz0)
https://developer.espressif.com/blog/2025/03/esp32-bluetooth-clearing-the-air/
https://www.tarlogic.com/blog/hacking-bluetooth-the-easy-way-with-esp32-hci-commands-and-hidden-features/
https://darkmentor.com/blog/esp32_non-backdoor/
https://cheriot.org/auditing/backdoor/2025/03/09/no-esp32-style-backdoor.html
https://nvd.nist.gov/vuln/detail/CVE-2025-27840
