Backdoor Tak Terdokumentasi Ditemukan di Chip Bluetooth yang Digunakan pada Miliaran Perangkat
(bleepingcomputer.com)- Perintah Bluetooth yang tidak ada dalam dokumentasi publik ditemukan di ESP32, yang banyak digunakan pada perangkat IoT, dan cakupan dampaknya besar karena chip ini telah digunakan pada lebih dari 1 miliar perangkat per 2023
- Tarlogic Security mengungkap 29 vendor-specific command dalam firmware Bluetooth ESP32 di RootedCON, serta menyoroti kemungkinan pembacaan/penulisan RAM dan Flash, spoofing alamat MAC, dan injeksi paket LMP/LLCP
- Perintah-perintah ini dapat mengarah pada penyamaran sebagai perangkat tepercaya, akses data tanpa izin, pergerakan di dalam jaringan, dan upaya mempertahankan persistensi jangka panjang, serta dilacak sebagai CVE-2025-27840
- Kemungkinan eksploitasi jarak jauh yang nyata bergantung pada bagaimana stack Bluetooth perangkat memproses perintah HCI, dan menjadi lebih relevan ketika ada firmware berbahaya, pembaruan berbahaya, atau akses root yang sudah lebih dulu diperoleh
- Espressif menyatakan ini adalah perintah debug untuk pengujian internal dan dengan sendirinya tidak menimbulkan risiko keamanan pada ESP32, tetapi berencana menghapus perintah yang tidak terdokumentasi itu dalam pembaruan perangkat lunak mendatang
Perintah Bluetooth tak terdokumentasi yang tertinggal di ESP32
- Mikrochip ESP32 dari produsen Tiongkok Espressif menyertakan perintah Bluetooth yang tidak ada dalam dokumentasi publik
- ESP32 adalah mikrokontroler yang menyediakan konektivitas Wi-Fi dan Bluetooth untuk perangkat IoT, dan telah digunakan pada lebih dari 1 miliar perangkat per 2023
- Perintah yang ditemukan dapat dimanfaatkan untuk tindakan berikut
- Spoofing agar terlihat seperti perangkat tepercaya
- Akses data tanpa izin
- Berpindah ke perangkat lain di dalam jaringan
- Kemungkinan mempertahankan persistensi jangka panjang
Temuan Tarlogic dan alat risetnya
- Miguel Tarascó Acuña dan Antonio Vázquez Blanco dari Tarlogic Security, Spanyol, mempresentasikan hasil riset mereka di RootedCON di Madrid
- Menurut tim peneliti, minat terhadap riset keamanan Bluetooth memang menurun, tetapi itu bukan karena protokol atau implementasinya menjadi lebih aman
- Banyak serangan yang diumumkan belakangan tidak memiliki alat yang benar-benar berfungsi, tidak berjalan di perangkat keras umum, atau bergantung pada alat lama yang tidak lagi dipelihara sehingga kurang cocok dengan sistem modern
- Tarlogic mengembangkan driver USB Bluetooth baru berbasis C
- Bekerja lintas platform dan independen dari perangkat keras
- Dapat mengakses perangkat keras secara langsung tanpa bergantung pada API khusus OS
- Memungkinkan akses mentah ke lalu lintas Bluetooth
Kontrol tingkat rendah yang dimungkinkan oleh perintah tersebut
- Vendor-specific command tersembunyi dikonfirmasi ada dalam firmware Bluetooth ESP32
- Opcode-nya adalah
0x3F - Dapat mengontrol fungsi Bluetooth pada level rendah
- Opcode-nya adalah
- Total ada 29 perintah tak terdokumentasi yang ditemukan
- Fungsi utamanya terkait dengan hal-hal berikut
- Manipulasi memori terhadap RAM dan Flash
- Penyamaran perangkat melalui spoofing alamat MAC
- Injeksi paket LMP/LLCP
- Karena Espressif tidak mendokumentasikan perintah ini secara publik, ada kemungkinan perintah tersebut memang tidak dimaksudkan untuk bisa diakses atau tertinggal secara tidak sengaja
- Masalah ini dilacak sebagai CVE-2025-27840
Kemungkinan serangan dan keterbatasan realistis
- Tim peneliti menilai perintah ini dapat menimbulkan risiko implementasi berbahaya di tingkat OEM atau serangan rantai pasok
- Kemungkinan eksploitasi jarak jauh bergantung pada cara stack Bluetooth perangkat menangani perintah HCI
- Potensi eksploitasi jarak jauh dapat lebih besar dalam kondisi berikut
- Penyerang telah lebih dulu memperoleh akses root
- Malware telah ditanamkan
- Pembaruan berbahaya yang membuka akses level rendah telah didistribusikan
- Firmware berbahaya atau koneksi Bluetooth rogue ikut terlibat
- Secara umum, akses fisik ke antarmuka USB atau UART perangkat adalah skenario serangan yang lebih realistis
- Tarlogic menilai bahwa jika perangkat IoT yang menyertakan ESP32 berhasil dikompromikan, APT dapat disembunyikan di dalam memori ESP, lalu perangkat dikendalikan melalui Wi-Fi/Bluetooth untuk melancarkan serangan Bluetooth atau Wi-Fi terhadap perangkat lain
- Perintah yang dapat memodifikasi RAM dan Flash dapat berujung pada kontrol penuh atas chip ESP32 serta persistensi di level chip
Penjelasan Espressif dan rencana perbaikan
- BleepingComputer awalnya meminta komentar dari Espressif, tetapi tidak segera menerima tanggapan
- Setelah itu, Espressif mengeluarkan pernyataan resmi mengenai temuan Tarlogic
- Perusahaan menjelaskan bahwa fungsi yang ditemukan adalah perintah debug untuk keperluan pengujian internal
- Perintah ini merupakan bagian dari implementasi protokol HCI (Host Controller Interface) yang digunakan dalam teknologi Bluetooth
- HCI digunakan di dalam produk untuk komunikasi antar lapisan Bluetooth
- Espressif menilai bahwa keberadaan perintah debug itu sendiri tidak serta-merta menimbulkan risiko keamanan pada chip ESP32
- Namun, perusahaan berencana menyediakan perbaikan perangkat lunak untuk menghapus perintah yang tidak terdokumentasi tersebut
Koreksi istilah dan pembaruan artikel
- Dalam pembaruan 9 Maret 2025, judul dan isi artikel direvisi untuk mencerminkan kekhawatiran atas penggunaan istilah “backdoor” untuk menyebut perintah tak terdokumentasi ini
- Pada 8 Maret 2025, posisi Tarlogic ditambahkan
- Pada 9 Maret 2025, ID CVE ditambahkan
- Pada 10 Maret 2025, pernyataan resmi Espressif ditambahkan
1 komentar
Komentar di Hacker News
Menurut saya judulnya agak menyesatkan. Kalau saya membacanya dengan benar, backdoor yang dimaksud di sini adalah sesuatu yang memungkinkan komputer membaca dan menulis memori serta fungsi tingkat rendah dari adaptor USB Bluetooth miliknya sendiri.
Sepertinya ini tidak bisa dieksploitasi secara nirkabel. Perintah debugging yang tidak terdokumentasi seperti ini umum, dan saya pernah melihat fungsi serupa pada adaptor WiFi serta penerima GPS. Itu hanya ditemukan lewat rekayasa balik firmware chip atau driver vendor, tidak terdokumentasi, dan bukan masalah yang berdampak besar dengan sendirinya. Kalau ini memungkinkan firmware tanpa tanda tangan, kerentanannya sama saja.
Kalau bisa digunakan dari tempat selain host, itu cerita yang benar-benar berbeda.
Espressif selama ini nyaris menjadi pengecualian dalam hal keterbukaan di bidang ini. Mereka juga berkontribusi pada toolchain Rust open-source untuk chip mereka, dan bahkan secara terbuka mendorong rekayasa balik terhadap stack modem yang tidak bisa mereka buka karena kode berlisensi. Saya tidak suka jika imbalan atas sikap yang sedikit terbuka justru berupa publisitas buruk dan merugikan.
“Bergantung pada cara stack Bluetooth di perangkat memproses perintah HCI, eksploitasi jarak jauh terhadap backdoor dapat dimungkinkan melalui firmware berbahaya atau koneksi Bluetooth berbahaya.”
Singkatnya, jika ada stack driver yang aman dan Anda memercayai semua kode lokal, ekstensi vendor HCI bukan masalah.
Namun ekstensi HCI dapat dengan mudah menjadi celah keamanan. Masalahnya, HCI mencampurkan input yang dikendalikan penyerang dengan antarmuka yang kompleks dan parsing yang rumit. Seperti yang ditunjukkan kerentanan BleedingTooth beberapa tahun lalu, mudah sekali terjadi kesalahan.
Adanya fungsi seperti ini juga memudahkan pivot dari kerentanan lain, tetapi pada kebanyakan sistem itu hampir seperti buah yang tergantung rendah.
[0] https://google.github.io/security-research/pocs/linux/bleedi...
Bahkan dengan mengesampingkan skenario terburuk API web, bayangkan Anda menjalankan software yang setengah dipercaya di dalam VM bersarang tiga lapis demi menghindari risiko. Software itu memberi alasan yang masuk akal bahwa ia membutuhkan akses Bluetooth, lalu Anda mengizinkan pengecualian. Karena tidak suka hasilnya, Anda menghapus software itu dan mereset ketiga lapisan VM. Tampaknya selesai, tetapi apa yang dipasang malware di ESP saat punya akses bisa saja masih tersisa.
Akses tidak terdokumentasi ke subperangkat sendiri bisa menjadi hal yang sangat buruk, terutama jika persistensi terlibat.
Bisa dibayangkan situasi ketika ESP32 dipakai bukan sebagai SoC mandiri, melainkan sebagai “modem” WiFi/Bluetooth yang terhubung ke sistem host melalui tautan serial.
Secara teori, penyerang dapat memakai perintah tidak terdokumentasi untuk memindai, memalsukan, atau menyerang perangkat Bluetooth di sekitar. Mungkin bahkan tanpa mendapatkan hak root pada perangkat yang menjadi host ESP32.
Mereka mungkin akan terkejut kalau tahu bahwa dengan hak root, firmware drive disk bisa ditulis ulang dari dalam OS.
Yang ditemukan para peneliti adalah fitur hardware tidak terdokumentasi yang memungkinkan seseorang yang sudah punya hak eksekusi kode memperoleh akses tingkat rendah yang lebih dalam dari perkiraan ke stack WiFi ESP32.
Menyebutnya “backdoor” adalah clickbait murni.
Membingungkan. Apakah maksudnya ada beberapa perintah tidak terdokumentasi di stack Bluetooth? Kalau hanya kode yang sudah berjalan di perangkat yang bisa mengaksesnya, tampaknya sulit disebut backdoor.
Ini tidak terdengar seperti eksekusi kode jarak jauh.
Jadi ada kemungkinan program ruang pengguna, atau yang lebih buruk program WebBLE, menambahkan payload berbahaya yang persisten ke adaptor. Beacon pelacak yang tetap ada setelah drive diganti memang menakutkan, tetapi itu bukan eksekusi kode jarak jauh.
Secara teori, seharusnya memang bisa mendapatkan akses tingkat rendah ke chip radio Bluetooth yang terhubung itu sendiri, jadi rasanya ini sampai batas tertentu sudah bisa diduga.
Perangkat yang memiliki antarmuka tingkat rendah seperti ini lebih baik. Masalahnya mungkin bukan keberadaannya, melainkan kurangnya dokumentasi.
Dulu, pada chip radio Qualcomm, perintah baca/tulis memori melalui USB pernah digunakan untuk membuka kunci perangkat yang terkunci dan mengambil alih kepemilikannya. Karena itu baca/tulis out-of-band sepenuhnya, mungkin tidak terlalu bagus, tetapi kalau ini hanya bisa diakses dari kode yang sudah di-flash, justru relatif lebih baik.
Slide berbahasa Spanyol: https://www.documentcloud.org/documents/25554812-2025-rooted...
Singkatnya, mereka melakukan reverse engineering pada firmware dan menemukan perintah HCI yang melakukan hal-hal seperti baca/tulis memori, pengiriman paket, dan pengaturan alamat MAC
Itu tidak benar-benar merupakan backdoor. Entah para penelitinya yang menyebutnya begitu, atau karena presentasinya dalam bahasa Spanyol saya tidak tahu, atau mungkin para jurnalis menyebutnya backdoor demi mendapatkan lebih banyak klik
Untuk memakai perintah ini, diperlukan akses sewenang-wenang untuk mengirim perintah HCI ke perangkat. Artinya, Anda sudah mengendalikan perangkat dan cara kerjanya. Ini bukan sesuatu yang dieksploitasi dari jarak jauh lewat tautan nirkabel. Eksploit apa pun harus sudah memiliki kendali penuh atas perangkat, dan pada titik itu kemampuan mengubah alamat MAC atau mengirim paket bukanlah hal yang mengejutkan
Risetnya menarik, tetapi benar-benar mengecewakan ketika dikemas sebagai “backdoor”. Saya tidak tahu siapa yang bertanggung jawab atas penyebutan itu, tetapi saya rasa kemungkinan besar para jurnalis
Sebagai analogi yang lebih familiar, bayangkan menemukan bahwa controller Ethernet pada chip IoT umum bisa mengubah alamat MAC atau mengirim paket sewenang-wenang sesuai instruksi firmware. Ini cerita yang sama, hanya saja medianya Bluetooth
https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-...
Karena itulah ada tool Windows seperti https://macaddresschanger.com/ dan bdaddr di Linux. Sebagian besar tampaknya merupakan klon dari desain CSR, dan perintah untuk mengatur alamatnya juga sudah dikenal luas. https://sources.debian.org/src/bluez/5.55-3.1%2Bdeb11u1/tool...
Di sini bahkan persyaratan adanya kabel Ethernet juga dihilangkan
Anda bisa berkeliling dengan van putih bertuliskan “Free Candy / BLE Persistent Threats”, lalu membobol perangkat saat melewati detektor logam dalam perjalanan ke Tiongkok
Ini nirkabel, bisa menyebar seperti worm, mengirim paket sewenang-wenang, dan bisa melakukan spoofing perangkat sembarang—tetap tidak terlihat masalahnya?
Saya tidak suka artikel sensasional seperti ini. Sekarang sepertinya Espressif akan merasa tertekan untuk menjadi lebih tertutup
Kita tanpa ragu memasang driver binary blob buram yang berjalan di kernel space pada desktop dan laptop, dan bahkan tidak punya akses root ke ponsel sendiri yang dikendalikan cloud, tetapi beberapa perintah level rendah ESP32 yang tidak terdokumentasi—yang hanya bisa dipakai kalau perangkatnya sudah harus terkompromi—tiba-tiba menjadi vektor ancaman layak berita
Saya benar-benar penasaran apakah ada sesuatu yang hilang dalam proses penerjemahan. Dulu, orang mungkin hanya menganggap ini keren dan mencari cara untuk mengubahnya menjadi software-defined radio
Risetnya sendiri bagus, tetapi judulnya buruk. Jika dilihat sebagai vektor serangan, ini membutuhkan akses fisik, dan dalam hampir semua kasus hal yang sama sudah bisa dilakukan dengan cara lain
Judul yang lebih baik kira-kira “Perintah tidak terdokumentasi ditemukan pada chip Bluetooth umum”
Judul ini bohong. Kalau ini backdoor pada chip Bluetooth, seharusnya memungkinkan penyerang nirkabel mendapatkan eksekusi kode di chip tersebut
Artikel ini membahas driver perangkat pada perangkat yang terhubung yang bisa mendapatkan eksekusi kode di chip, dan itu tidak melanggar batas keamanan
Dalam ekosistem media yang berjalan sebagaimana mestinya, ini perlu koreksi, dan reputasi media yang menulis artikelnya juga seharusnya terkena dampak besar. Sayangnya, hal itu tidak akan terjadi