Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek" ...
Jan Waclawek
konfera na efton.sk
Pondělí Březen 10 13:34:38 CET 2025
Da sa vdaka tym nedokumentovanym funkciam dostat k pamati, ktora je inak
nedostupna?
Myslim, ze nie, inak by to bola prva vec co by tam bola zdoraznena.
wek
----- Original Message ---------------
>Ak sa da vdaka "nedokumentovanym funkciam" dostat k pamati, tak sa da
>dostat ku vsetkemu, co v tej pamati je, vratane sifrovacich/desifrovacich
>klucov.
>
>Dodo
>
>po 10. 3. 2025 o 11:40 Jan Waclawek <konfera na efton.sk> napísal(a):
>
>> Nevidel som, ze by sa niekde pisalo, ze "vdaka" nedokumentovanym funkciam
>> by sa dalo dostat k sifrovacim klucom, ku ktorym sa inak dostat neda.
>>
>> Inaksie povedane, z toho co som zatial precital, ziadne nove bezpecnostne
>> riziko nevyplyva. Je fakt, ze vsetko su to take vagne kecy bez
>> konkretnosti.
>>
>> wek
>>
>>
>> ----- Original Message ---------------
>>
>> Subject: Re: Bezpečnostní riziko v čipech ESP32: Nebezpečí "zadních vrátek"
>> ...
>> From: "Jindrich Fucik" <FULDA na seznam.cz>
>> Date: Mon, 10 Mar 2025 11:12:51 +0100 (CET)
>> To: "HW-news" <hw-list na list.hw.cz>
>>
>> >Tady je trochu filozofická otázka ve slově "na pohled stejné". Tedy
>> například jde o ±ifrovací klíče, nebo třeba heslo k wifině. Tedy data,
>> která zařízení "tak trochu" odli±ují od jiného "velmi podobného" zařízení.
>> To z mého pohledu celkem dost kazí dojem.
>> >Pochopitelně v prostředí domácí automatizace se to dá docela slu±ně
>> bagatelizovat, ale máme tu i prostředí, která mohou být o něco
>> atraktivněj±í pro napadení.
>> >
>> >---------- Původní e-mail ----------
>> >
>> >Zdravím,
>> >
>> >já o té chybě četl uµ ten den, kdy se první zmínka objevila na Bleeping
>> >Computer webu. Tehdy ten článek je±tě obsahoval informaci o "zadních
>> >vrátkách".
>> >
>> >Nicméně, pokud je pravda, µe zneuµití je moµné pouze při fysickém
>> >přístupu k zařízení a je nutno k ESP32 cosi fysicky připojit, aby bylo
>> >moµné nedokumentovanou funkcionalitu zneuµít, pak se opravdu o "zadní
>> >vrátka" nejedná. Jedná se "pouze" o nedokumentovanou funkcionalitu která
>> >můµe být nebezpečná, pokud bude zneuµita.
>> >V oblasti počítačové bezpečnosti se termín "zadní vrátka" opravdu
>> >pouµívá (resp. měl by se pouµívat) pouze pro utajenou funkcionalitu,
>> >kterou lze bezprostředně zneuµít bez vědomí majitele zařízení.
>> >
>> >Ale rozhodně je dobré o tomto risiku vědět. Na druhé straně je dobré si
>> >uvědomit, µe pokud k jakémukoli zařízení má útočník fysický přístup,
>> >můµe si s ním dělat cokoli. V krajním případě ho vyměnit za zařízení
>> >zcela jiné, ale na pohled stejné.
>>
Další informace o konferenci Hw-list