중국산 블루투스 칩에 알려지지 않은 명령들이 숨어있는 것으로 드러났다. 전세계 수많은 IoT 기기에 널리 쓰이고 있는 이들 칩이 백도어 공격에 활용될 수 있다는 우려다.
타로직시큐리티(Talogic Security)는 최근 스페인 마드리드에서 열린 ‘루티드콘(RootedCON) 행사에서 중국 반도체 제조사 에스프레시프(Espressif)의 마이크로칩 ‘ESP32’에서 제조사가 문서화하지 않은 32건의 명령어를 발견했다고 밝혔다.
타로직시큐리티 연구진이 루티트콘 행사에서 발표하고 있다. [출처: 타로직시큐리티]
ESP32는 블루투스와 와이파이 접속 기능을 가진 반도체 칩으로, 현재 수백만 대의 상용 IoT 기기에 쓰인 것으로 추산된다. 누적 판대는 10억 대에 이른다.
이러한 명령어를 타고 침투해 칩을 변조해 사용자 사칭 공격을 하거나 스마트폰, 컴퓨터, 의료기기 등 민감한 개인 기기에 영구적 피해를 입힐 우려가 있다고 타로직시큐리티는 밝혔다. 개인정보나 기업 기밀 정보 유출, 사용자 감시 등에 악용될 수 있다. 위탁제조사(OEM) 수준에서 말웨어를 심어 공급망 공격을 시도할 수도 있다.
타로직시큐리티는 하드웨어나 운용체계(OS) 종류에 상관없이 다양한 기기에 대해 블루투스 보안 점검을 실시할 수 있는 ‘블루투스USB’ 드라이버를 개발, 그간 알려지지 않은 마이크로칩 명령어를 탐지하는데 성공했다.
[한세희 기자(boan@boannews.com)]
타로직시큐리티(Talogic Security)는 최근 스페인 마드리드에서 열린 ‘루티드콘(RootedCON) 행사에서 중국 반도체 제조사 에스프레시프(Espressif)의 마이크로칩 ‘ESP32’에서 제조사가 문서화하지 않은 32건의 명령어를 발견했다고 밝혔다.
타로직시큐리티 연구진이 루티트콘 행사에서 발표하고 있다. [출처: 타로직시큐리티]
ESP32는 블루투스와 와이파이 접속 기능을 가진 반도체 칩으로, 현재 수백만 대의 상용 IoT 기기에 쓰인 것으로 추산된다. 누적 판대는 10억 대에 이른다.
이러한 명령어를 타고 침투해 칩을 변조해 사용자 사칭 공격을 하거나 스마트폰, 컴퓨터, 의료기기 등 민감한 개인 기기에 영구적 피해를 입힐 우려가 있다고 타로직시큐리티는 밝혔다. 개인정보나 기업 기밀 정보 유출, 사용자 감시 등에 악용될 수 있다. 위탁제조사(OEM) 수준에서 말웨어를 심어 공급망 공격을 시도할 수도 있다.
타로직시큐리티는 하드웨어나 운용체계(OS) 종류에 상관없이 다양한 기기에 대해 블루투스 보안 점검을 실시할 수 있는 ‘블루투스USB’ 드라이버를 개발, 그간 알려지지 않은 마이크로칩 명령어를 탐지하는데 성공했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
