Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...

[Jindrich Fucik]

Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy například jde o šifrovací klíče, nebo třeba heslo k wifině. Tedy data, která zařízení "tak trochu" odlišují od jiného "velmi podobného" zařízení. To z mého pohledu celkem dost kazí dojem. 
Pochopitelně v prostředí domácí automatizace se to dá docela slušně bagatelizovat, ale máme tu i prostředí, která mohou být o něco atraktivnější pro napadení.

---------- Původní e-mail ----------
Od: Pavel Kořenský <pavel.korensky na dator3.cz>
Komu: hw-list na list.hw.cz
Datum: 10. 3. 2025 10:29:15
Předmět: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...

Zdravím,

já o té chybě četl už ten den, kdy se první zmínka objevila na Bleeping 
Computer webu. Tehdy ten článek ještě obsahoval informaci o "zadních 
vrátkách".

Nicméně, pokud je pravda, že zneužití je možné pouze při fysickém 
přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo 
možné nedokumentovanou funkcionalitu zneužít, pak se opravdu o "zadní 
vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která 
může být nebezpečná, pokud bude zneužita.
V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu 
používá (resp. měl by se používat) pouze pro utajenou funkcionalitu, 
kterou lze bezprostředně zneužít bez vědomí majitele zařízení.

Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si 
uvědomit, že pokud k jakémukoli zařízení má útočník fysický přístup, 
může si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení 
zcela jiné, ale na pohled stejné.