<div dir="ltr"><div>Tie moduly su casto pouzivane ako IoT a teda casto NIE SU umiestnene na nedostupnom, alebo kontrolovanom mieste ( budova, miestnost s kontrolvanym pristupm...  ) . Ak su niekde "na zahrade", "v poli", " v garazi", "na plote" alebo inde "v priesore", tak poziadavka fyzickej NE-pristupnosti sa da tazsie splnit. Niekedy je vycitanie udajov hodnotnejsie, ako fyzicka kradez takehoto zariadenia, lebo moze poskytnut prislusne udaje na prihlasenie sa do sieti... <br></div><div><br></div><div>Velmi jednoduchy modelovy domaci priklad ( chodili aj tu navody ako citat kamerou a modulom s ESP nejaky "cokolvekmer" )</div><div>- pouzijete takyto modul na citanie elektromera/plynomera/vodomera</div><div>- modul je umiestneny v skrinke "na plote", teda dostupny zvonku hocikomu</div><div>- modul sa pripaja do nejakej WiFi k vam domov</div><div>- niekto pride a vycita tieto udaje z modulu ( prihlasovacie meno, heslo, MAC adresu, pripadne kluce pre SSL a pod ) a odide</div><div>- potom pride " o mesiac autom" a skusi sa pripojit do vasej siete a "popozera" kam vsade sa dostane ...</div><div></div><div></div><div><br></div><div>Dodo Racek</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">po 10. 3. 2025 o 12:41 Pavel Hudeček <<a href="mailto:edizon@seznam.cz">edizon@seznam.cz</a>> napísal(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">No třeba prodejce má fyzický přístup ještě před zadáním hesla na wifinu.<br>
<br>
Takže zákazník si koupí zařízení, přihlásí na wifi. ESP zkusí jestli má <br>
internet a pokud ano, zadá přihlašovací údaje do formuláře na webu. K <br>
tomu může prohlídnout co na síti a na BT vidí a seznam také zadat do <br>
formuláře.<br>
<br>
Opačně pak firma zpracující elektroodpad má zas přístup po.<br>
<br>
PH<br>
<br>
Dne 10.03.2025 v 11:40 Jan Waclawek napsal(a):<br>
> Nevidel som, ze by sa niekde pisalo, ze "vdaka" nedokumentovanym funkciam<br>
> by sa dalo dostat k sifrovacim klucom, ku ktorym sa inak dostat neda.<br>
><br>
> Inaksie povedane, z toho co som zatial precital, ziadne nove bezpecnostne<br>
> riziko nevyplyva. Je fakt, ze vsetko su to take vagne kecy bez<br>
> konkretnosti.<br>
><br>
> wek<br>
><br>
><br>
> ----- Original Message ---------------<br>
><br>
> Subject: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek"<br>
> ...<br>
>     From: "Jindrich Fucik" <<a href="mailto:FULDA@seznam.cz" target="_blank">FULDA@seznam.cz</a>><br>
>     Date: Mon, 10 Mar 2025 11:12:51 +0100 (CET)<br>
>       To: "HW-news" <<a href="mailto:hw-list@list.hw.cz" target="_blank">hw-list@list.hw.cz</a>><br>
><br>
>> Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy například jde o ąifrovací klíče, nebo třeba heslo k wifině. Tedy data, která zařízení "tak trochu" odliąují od jiného "velmi podobného" zařízení. To z mého pohledu celkem dost kazí dojem.<br>
>> Pochopitelně v prostředí domácí automatizace se to dá docela sluąně bagatelizovat, ale máme tu i prostředí, která mohou být o něco atraktivnějąí pro napadení.<br>
>><br>
>> ---------- Původní e-mail ----------<br>
>><br>
>> Zdravím,<br>
>><br>
>> já o té chybě četl uľ ten den, kdy se první zmínka objevila na Bleeping<br>
>> Computer webu. Tehdy ten článek jeątě obsahoval informaci o "zadních<br>
>> vrátkách".<br>
>><br>
>> Nicméně, pokud je pravda, ľe zneuľití je moľné pouze při fysickém<br>
>> přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo<br>
>> moľné nedokumentovanou funkcionalitu zneuľít, pak se opravdu o "zadní<br>
>> vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která<br>
>> můľe být nebezpečná, pokud bude zneuľita.<br>
>> V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu<br>
>> pouľívá (resp. měl by se pouľívat) pouze pro utajenou funkcionalitu,<br>
>> kterou lze bezprostředně zneuľít bez vědomí majitele zařízení.<br>
>><br>
>> Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si<br>
>> uvědomit, ľe pokud k jakémukoli zařízení má útočník fysický přístup,<br>
>> můľe si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení<br>
>> zcela jiné, ale na pohled stejné.<br>
_______________________________________________<br>
HW-list mailing list  -  sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/listinfo/hw-list</a><br>
</blockquote></div>