Một lỗ hổng bảo mật trong chip ESP32 của Espressif (Trung Quốc) vừa được công ty an ninh mạng Tarlogic (Tây Ban Nha) phát hiện, làm dấy lên lo ngại về an toàn thông tin trên các thiết bị IoT.
Theo Tarlogic, chip ESP32 chứa một lệnh ẩn có thể bị hacker khai thác để mạo danh thiết bị hợp lệ, từ đó truy cập dữ liệu hoặc thực hiện các hành vi nguy hiểm như theo dõi người dùng hay xâm nhập hệ thống thiết bị IoT. Công ty này đã phát triển công cụ kiểm tra và phát hiện tổng cộng 29 “chức năng ẩn” trên con chip, có thể bị lợi dụng để vượt qua các biện pháp kiểm tra bảo mật thông thường.
ESP32 là dòng vi điều khiển giá rẻ, hỗ trợ kết nối Wi-Fi và Bluetooth, được sử dụng phổ biến trong các thiết bị IoT. Với mức giá chỉ khoảng 2 USD, loại chip này đã được bán ra hơn một tỷ đơn vị tính đến năm 2023.
Phản hồi về phát hiện trên, Espressif xác nhận các lệnh ẩn này là lệnh gỡ lỗi được sử dụng trong nội bộ. Tuy nhiên, công ty không đưa ra thông tin về biện pháp khắc phục hay kế hoạch vá lỗi. Các chuyên gia cảnh báo người dùng và nhà sản xuất nên theo dõi các bản cập nhật phần mềm và áp dụng biện pháp bảo mật bổ sung để tránh rủi ro.
