Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...

Pavel Hudeček edizon na seznam.cz
Pondělí Březen 10 12:41:10 CET 2025 

No třeba prodejce má fyzický přístup jeątě před zadáním hesla na wifinu.

Takľe zákazník si koupí zařízení, přihlásí na wifi. ESP zkusí jestli má 
internet a pokud ano, zadá přihlaąovací údaje do formuláře na webu. K 
tomu můľe prohlídnout co na síti a na BT vidí a seznam také zadat do 
formuláře.

Opačně pak firma zpracující elektroodpad má zas přístup po.

PH

Dne 10.03.2025 v 11:40 Jan Waclawek napsal(a):
> Nevidel som, ze by sa niekde pisalo, ze "vdaka" nedokumentovanym funkciam
> by sa dalo dostat k sifrovacim klucom, ku ktorym sa inak dostat neda.
>
> Inaksie povedane, z toho co som zatial precital, ziadne nove bezpecnostne
> riziko nevyplyva. Je fakt, ze vsetko su to take vagne kecy bez
> konkretnosti.
>
> wek
>
>
> ----- Original Message ---------------
>
> Subject: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek"
> ...
>     From: "Jindrich Fucik" <FULDA na seznam.cz>
>     Date: Mon, 10 Mar 2025 11:12:51 +0100 (CET)
>       To: "HW-news" <hw-list na list.hw.cz>
>
>> Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy například jde o ±ifrovací klíče, nebo třeba heslo k wifině. Tedy data, která zařízení "tak trochu" odli±ují od jiného "velmi podobného" zařízení. To z mého pohledu celkem dost kazí dojem.
>> Pochopitelně v prostředí domácí automatizace se to dá docela slu±ně bagatelizovat, ale máme tu i prostředí, která mohou být o něco atraktivněj±í pro napadení.
>>
>> ---------- Původní e-mail ----------
>>
>> Zdravím,
>>
>> já o té chybě četl uµ ten den, kdy se první zmínka objevila na Bleeping
>> Computer webu. Tehdy ten článek je±tě obsahoval informaci o "zadních
>> vrátkách".
>>
>> Nicméně, pokud je pravda, µe zneuµití je moµné pouze při fysickém
>> přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo
>> moµné nedokumentovanou funkcionalitu zneuµít, pak se opravdu o "zadní
>> vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která
>> můµe být nebezpečná, pokud bude zneuµita.
>> V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu
>> pouµívá (resp. měl by se pouµívat) pouze pro utajenou funkcionalitu,
>> kterou lze bezprostředně zneuµít bez vědomí majitele zařízení.
>>
>> Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si
>> uvědomit, µe pokud k jakémukoli zařízení má útočník fysický přístup,
>> můµe si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení
>> zcela jiné, ale na pohled stejné.

Další informace o konferenci Hw-list