Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...

Jan Waclawek konfera na efton.sk
Pondělí Březen 10 11:40:12 CET 2025 

Nevidel som, ze by sa niekde pisalo, ze "vdaka" nedokumentovanym funkciam
by sa dalo dostat k sifrovacim klucom, ku ktorym sa inak dostat neda.

Inaksie povedane, z toho co som zatial precital, ziadne nove bezpecnostne
riziko nevyplyva. Je fakt, ze vsetko su to take vagne kecy bez
konkretnosti.

wek


----- Original Message ---------------

Subject: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek"
...
   From: "Jindrich Fucik" <FULDA na seznam.cz>
   Date: Mon, 10 Mar 2025 11:12:51 +0100 (CET)
     To: "HW-news" <hw-list na list.hw.cz>

>Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy například jde o ±ifrovací klíče, nebo třeba heslo k wifině. Tedy data, která zařízení "tak trochu" odli±ují od jiného "velmi podobného" zařízení. To z mého pohledu celkem dost kazí dojem. 
>Pochopitelně v prostředí domácí automatizace se to dá docela slu±ně bagatelizovat, ale máme tu i prostředí, která mohou být o něco atraktivněj±í pro napadení.
>
>---------- Původní e-mail ----------
>
>Zdravím,
>
>já o té chybě četl uµ ten den, kdy se první zmínka objevila na Bleeping 
>Computer webu. Tehdy ten článek je±tě obsahoval informaci o "zadních 
>vrátkách".
>
>Nicméně, pokud je pravda, µe zneuµití je moµné pouze při fysickém 
>přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo 
>moµné nedokumentovanou funkcionalitu zneuµít, pak se opravdu o "zadní 
>vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která 
>můµe být nebezpečná, pokud bude zneuµita.
>V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu 
>pouµívá (resp. měl by se pouµívat) pouze pro utajenou funkcionalitu, 
>kterou lze bezprostředně zneuµít bez vědomí majitele zařízení.
>
>Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si 
>uvědomit, µe pokud k jakémukoli zařízení má útočník fysický přístup, 
>můµe si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení 
>zcela jiné, ale na pohled stejné.

Další informace o konferenci Hw-list