محققان دستوراتی مخفی در تراشه ESP32 کشف کرده‌اند که می‌تواند به مهاجمان اجازه دهد دستگاه‌ها را هک و به اطلاعات کاربران دسترسی پیدا کنند.

محققان امنیت سایبری شرکت Tarlogic فرمان مخفی در تراشه بلوتوث ESP32 کشف کرده‌اند که می‌تواند بیش از یک‌میلیارد دستگاه را به خطر بیندازد. این تراشه که تولید شرکت چینی Espressif است، در میلیون‌ها دستگاه اینترنت اشیا (IoT) ازجمله لوازم هوشمند، قفل‌های الکترونیکی و تجهیزات پزشکی به کار می‌رود.

براساس گزارش‌ها، هکرها می‌توانند با استفاده از این فرمان مخفی، خود را دستگاه مورداعتماد جا بزنند و به گوشی‌های هوشمند، کامپیوترها و سایر دستگاه‌ها متصل شوند. این نفوذ می‌تواند امکان جاسوسی از کاربران و دسترسی به اطلاعات حساس را فراهم کند.

محققان با توسعه ابزار جدیدی برای بررسی امنیت بلوتوث، 29 عملکرد مخفی را در این تراشه شناسایی کرده‌اند که می‌تواند برای حملات جعل هویت و آلوده‌سازی دائمی دستگاه‌های حساس از آنها سوءاستفاده کرد.

گزارش‌ها نشان می‌دهد تراشه ESP32 به‌دلیل قیمت حدود 2 دلاری خود در بسیاری از دستگاه‌ها استفاده می‌شود. نشریه BleepingComputer نیز می‌گوید این آسیب‌پذیری با شناسه CVE-2025-27840 درحال پیگیری است.

توضیحاتی درباره آسیب‌پذیری تراشه بلوتوث

باید به گزارش از محقق امنیت دیگری نیز اشاره کرد که هرچند یافته‌های Tarlogic را نقض نمی‌کند، شدت آسیب‌پذیری را زیر سؤال می‌برد. در این گزارش، ادعا شده فرمان‌های مخفی (VSC) کشف‌شده، ویژگی استانداردی در بسیاری از کنترلرهای بلوتوث هستند، نه درِ پشتی (backdoor) که هکرها از طریق آن می‌توانند به دستگاه‌ها نفوذ کنند. او می‌گوید این فرمان‌ها در تراشه‌های دیگر هم وجود دارند و اگر این VSCها تهدید امنیتی محسوب شوند، بسیاری از کنترلرهای بلوتوث دیگر (مثل محصولات Texas Instruments و Broadcom) نیز در معرض خطر خواهند بود.

پس از ادعاهای این محقق، Tarlogic گزارش خود را تغییر داده و در آن از اصطلاح «Backdoor» استفاده نکرده و این ویژگی‌ها را «قابلیت‌های پنهان» نامیده است.