<html><head><title>Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...</title>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
</head>
<body>
<span style=" font-family:'Courier New'; font-size: 9pt;">Proto mám na domácí automatizaci separátní WiFi (virtuální), a nastavené že zařízení jsou izolovaná. Třeba to trochu pomůže.<br>
<br>
Tomáš<br>
<br>
<br>
</span><table>
<tr>
<td width=2 bgcolor= #0000ff><br>
</td>
<td><span style=" font-family:'courier new'; font-size: 9pt;">Tie moduly su casto pouzivane ako IoT a teda casto NIE SU umiestnene na nedostupnom, alebo kontrolovanom mieste ( budova, miestnost s kontrolvanym pristupm...  ) . Ak su niekde "na zahrade", "v poli", " v garazi", "na plote" alebo inde "v priesore", tak poziadavka fyzickej NE-pristupnosti sa da tazsie splnit. Niekedy je vycitanie udajov hodnotnejsie, ako fyzicka kradez takehoto zariadenia, lebo moze poskytnut prislusne udaje na prihlasenie sa do sieti... <br>
<br>
Velmi jednoduchy modelovy domaci priklad ( chodili aj tu navody ako citat kamerou a modulom s ESP nejaky "cokolvekmer" )<br>
- pouzijete takyto modul na citanie elektromera/plynomera/vodomera<br>
- modul je umiestneny v skrinke "na plote", teda dostupny zvonku hocikomu<br>
- modul sa pripaja do nejakej WiFi k vam domov<br>
- niekto pride a vycita tieto udaje z modulu ( prihlasovacie meno, heslo, MAC adresu, pripadne kluce pre SSL a pod ) a odide<br>
- potom pride " o mesiac autom" a skusi sa pripojit do vasej siete a "popozera" kam vsade sa dostane ...<br>
<br>
Dodo Racek<br>
<br>
po 10. 3. 2025 o 12:41 Pavel Hudeček <</span><a style=" font-family:'courier new'; font-size: 9pt;" href="mailto:edizon@seznam.cz">edizon@seznam.cz</a><span style=" font-family:'courier new'; font-size: 9pt;">> napísal(a):<br>
No třeba prodejce má fyzický přístup ještě před zadáním hesla na wifinu.<br>
<br>
Takže zákazník si koupí zařízení, přihlásí na wifi. ESP zkusí jestli má <br>
internet a pokud ano, zadá přihlašovací údaje do formuláře na webu. K <br>
tomu může prohlídnout co na síti a na BT vidí a seznam také zadat do <br>
formuláře.<br>
<br>
Opačně pak firma zpracující elektroodpad má zas přístup po.<br>
<br>
PH<br>
<br>
Dne 10.03.2025 v 11:40 Jan Waclawek napsal(a):<br>
> Nevidel som, ze by sa niekde pisalo, ze "vdaka" nedokumentovanym funkciam<br>
> by sa dalo dostat k sifrovacim klucom, ku ktorym sa inak dostat neda.<br>
><br>
> Inaksie povedane, z toho co som zatial precital, ziadne nove bezpecnostne<br>
> riziko nevyplyva. Je fakt, ze vsetko su to take vagne kecy bez<br>
> konkretnosti.<br>
><br>
> wek<br>
><br>
><br>
> ----- Original Message ---------------<br>
><br>
> Subject: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek"<br>
> ...<br>
>     From: "Jindrich Fucik" <</span><a style=" font-family:'courier new'; font-size: 9pt;" href="mailto:FULDA@seznam.cz">FULDA@seznam.cz</a><span style=" font-family:'courier new'; font-size: 9pt;">><br>
>     Date: Mon, 10 Mar 2025 11:12:51 +0100 (CET)<br>
>       To: "HW-news" <</span><a style=" font-family:'courier new'; font-size: 9pt;" href="mailto:hw-list@list.hw.cz">hw-list@list.hw.cz</a><span style=" font-family:'courier new'; font-size: 9pt;">><br>
><br>
>> Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy například jde o ąifrovací klíče, nebo třeba heslo k wifině. Tedy data, která zařízení "tak trochu" odliąují od jiného "velmi podobného" zařízení. To z mého pohledu celkem dost kazí dojem.<br>
>> Pochopitelně v prostředí domácí automatizace se to dá docela sluąně bagatelizovat, ale máme tu i prostředí, která mohou být o něco atraktivnějąí pro napadení.<br>
>><br>
>> ---------- Původní e-mail ----------<br>
>><br>
>> Zdravím,<br>
>><br>
>> já o té chybě četl uľ ten den, kdy se první zmínka objevila na Bleeping<br>
>> Computer webu. Tehdy ten článek jeątě obsahoval informaci o "zadních<br>
>> vrátkách".<br>
>><br>
>> Nicméně, pokud je pravda, ľe zneuľití je moľné pouze při fysickém<br>
>> přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo<br>
>> moľné nedokumentovanou funkcionalitu zneuľít, pak se opravdu o "zadní<br>
>> vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která<br>
>> můľe být nebezpečná, pokud bude zneuľita.<br>
>> V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu<br>
>> pouľívá (resp. měl by se pouľívat) pouze pro utajenou funkcionalitu,<br>
>> kterou lze bezprostředně zneuľít bez vědomí majitele zařízení.<br>
>><br>
>> Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si<br>
>> uvědomit, ľe pokud k jakémukoli zařízení má útočník fysický přístup,<br>
>> můľe si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení<br>
>> zcela jiné, ale na pohled stejné.<br>
_______________________________________________<br>
HW-list mailing list  -  sponsored by </span><a style=" font-family:'courier new'; font-size: 9pt;" href="http://www.HW.cz">www.HW.cz</a><br>
<a style=" font-family:'courier new'; font-size: 9pt;" href="mailto:hw-list@list.hw.cz">Hw-list@list.hw.cz</a><br>
<a style=" font-family:'courier new'; font-size: 9pt;" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a></td>
</tr>
</table>
</body></html>