Специалисты Национального института стандартов и технологий США (NIST) выявили критическую уязвимость в микроконтроллере ESP32, который применяется в миллиардах IoT-устройств и широко используется в популярных аппаратных биткоин-кошельках. Угроза затрагивает безопасность цифровых активов, включая закрытые ключи и подписи транзакций.
Речь идет об ошибке CVE-2025-27840, которая дает злоумышленникам возможность подделывать криптографические подписи и удаленно получать доступ к приватным ключам. В зоне риска оказались, в частности, такие криптокошельки, как Blockstream Jade, использующие ESP32 для генерации подписей биткоин-транзакций.
Исследование показало, что в Bluetooth-модуле чипа обнаружены 29 скрытых команд HCI, которые не были документированы производителем. Эти команды могут быть использованы для кибератак, включая подделку устройств, несанкционированное подключение, доступ к данным и даже вмешательство в работу сети. Более того, генератор случайных чисел, встроенный в ESP32, имеет низкую энтропию, что облегчает взлом криптографических пар методом перебора.
Производитель чипа, китайская компания Espressif, признала существование этих скрытых команд, однако отвергла наличие преднамеренного «бэкдора». Представители Espressif заверили, что в скором времени будет выпущено обновление для устранения уязвимости.
Это не первый случай, когда в аппаратных решениях выявляются серьезные угрозы. Ранее исследователи из нескольких американских университетов обнаружили уязвимость в процессорах Apple серий M1, M2 и M3, которая позволяет похищать криптографические ключи. От той угрозы, в отличие от случая с ESP32, нет программного способа защиты — пользователям рекомендовано удалить криптокошельки с таких устройств.
источник
уникальность
