Apple, 프라이빗 클라우드 컴퓨팅에서 보안 취약점을 발견하는 사람에게 100만 달러 보상 제공
이러한 움직임을 통해 Apple은 PCC를 중심으로 신뢰와 투명성을 구축하고, 클라우드에서 사용자 개인 정보 보호 및 보안을 강화하려는 의지를 보이고 있습니다.
전 세계 10억 대의 기기에 사용되는 블루투스 칩에서 보안 결함 발견
ESP32는 중국 제조업체인 에스프레시프(Espressif)가 출시한 매우 인기 있는 저가형 칩으로, 2023년까지 전 세계적으로 10억 대 이상의 기기에 사용될 것으로 추정되며, 공격에 악용될 수 있는 문서화되지 않은 "백도어"를 포함하고 있습니다.
이러한 문서화되지 않은 명령을 사용하면 신뢰할 수 있는 장치로 가장하고, 데이터에 대한 무단 액세스, 네트워크의 다른 장치로 리디렉션하고, 지속성을 확립할 수 있습니다.
이 발견은 Tarlogic Security 팀의 스페인 사이버보안 연구원인 미구엘 타라스코 아쿠냐와 안토니오 바스케스 블랑코에 의해 공개되었습니다. 마드리드에서 열린 RootedCON 컨퍼런스에서 다음과 같은 성명이 발표되었습니다.
Tarlogic Security는 WiFi와 Bluetooth 연결을 지원하는 마이크로컨트롤러 제품군인 ESP32에서 백도어를 발견했습니다. ESP32는 시중에 판매되는 수백만 대의 IoT 기기에 탑재되어 있습니다. 이 백도어를 악용하면 악의적인 행위자가 스푸핑 공격을 수행하고 코드 검사를 우회하여 휴대전화, 컴퓨터, 스마트 잠금 장치 또는 의료 기기와 같은 민감한 장치를 영구적으로 감염시킬 수 있습니다.
ESP32는 IoT(사물 인터넷) 기기의 Wi-Fi + Bluetooth 연결에 전 세계적으로 가장 널리 사용되는 칩 중 하나이므로 백도어가 존재할 위험이 매우 큽니다.
ESP32의 백도어
RootedCON에서 진행된 프레젠테이션에서 Tarlogic 연구원들은 Bluetooth 보안 연구에 대한 관심이 감소했지만, 이는 프로토콜이나 구현의 보안이 강화되었기 때문이 아니라고 설명했습니다.
그런데 작년에 나타난 대부분의 공격은 제대로 작동하는 도구가 없었고, 주류 하드웨어와 호환되지 않았으며, 현대 시스템과는 크게 호환되지 않는 오래되거나 유지 관리되지 않은 도구를 사용했습니다.
Tarlogic은 운영 체제별 API에 의존하지 않고 하드웨어에 직접 액세스할 수 있는 새로운 C 기반, 하드웨어 독립형, 크로스 플랫폼 USB Bluetooth 드라이버를 개발했습니다.
Bluetooth 트래픽에 대한 원시 액세스를 허용하는 이 새로운 도구를 사용하여 Tarlogic은 ESP32 Bluetooth 펌웨어에서 숨겨진 공급업체별 명령(Opcode 0x3F)을 발견했으며, 이를 통해 Bluetooth 기능의 저수준 제어가 가능해졌습니다.
그들은 총 29개의 문서화되지 않은 명령을 발견했는데, 이를 통칭하여 "백도어"라고 하며, 메모리 조작(RAM 및 플래시 읽기/쓰기), MAC 주소 스푸핑(장치 스푸핑), LMP/LLCP 패킷 푸시에 악용될 수 있습니다. 이 문제는 현재 CVE-2025-27840이라는 식별자로 추적되고 있습니다.
잠재적 위험
이러한 명령으로 인해 발생하는 위험에는 OEM 수준의 악의적 배포 및 공급망 공격이 포함됩니다.
Bluetooth 스택이 장치에서 HCI 명령을 처리하는 방식에 따라 악성 펌웨어나 스푸핑된 Bluetooth 연결을 통해 원격 백도어 악용이 가능할 수 있습니다.
특히 공격자가 이미 루트 액세스 권한을 가지고 있거나, 맬웨어를 설치하거나, 장치에 악성 업데이트를 푸시하여 저수준 액세스가 가능한 경우에 그렇습니다.
그러나 일반적으로 장치의 USB나 UART 인터페이스에 물리적으로 접근하는 것은 훨씬 더 위험하고 현실적인 공격 시나리오입니다.
" ESP32 칩을 실행하는 IoT 기기를 손상시킬 수 있는 시나리오에서는 ESP 메모리에 APT(지속 가능한 고급 위협)를 숨기고 다른 기기를 대상으로 Bluetooth(또는 Wi-Fi) 공격을 수행하는 동시에 Wi-Fi/Bluetooth를 통해 기기를 제어할 수 있습니다 ."라고 팀은 설명했습니다. " 이번 발견은 ESP32 칩을 완벽하게 제어하고 RAM과 플래시 메모리를 수정할 수 있는 명령을 통해 칩 내부에서 지속성을 유지할 수 있게 해 줄 것입니다. 또한, ESP32가 고급 블루투스 공격을 허용하기 때문에 칩 내부에서 지속성을 유지함으로써 다른 장치로 확산될 가능성도 있습니다 . "
WebTech360에서는 이 문제에 대한 정보를 계속해서 업데이트할 예정이니 주의해주시기 바랍니다.
Qualcomm 칩 결함으로 수억 대의 휴대전화가 원격 해킹에 취약
Qualcomm은 인기 있는 Android 기기에 널리 사용되는 Snapdragon 8 Gen 1, Snapdragon 888을 포함하여 자사 칩셋 64개에 영향을 미치는 제로데이 취약점(CVE-2024-43047)을 확인했습니다.
일반 TV와 스마트 TV의 차이점
스마트 TV는 정말로 세상을 휩쓸었습니다. 이렇게 많은 뛰어난 기능과 인터넷 연결 덕분에 기술은 우리가 TV를 시청하는 방식을 바꾸어 놓았습니다.
왜 냉동고에는 조명이 없는데 냉장고에는 조명이 있나요?
냉장고는 가정에서 흔히 볼 수 있는 가전제품이다. 냉장고는 보통 2개의 칸으로 구성되어 있는데, 냉장실은 넓고 사용자가 열 때마다 자동으로 켜지는 조명이 있는 반면, 냉동실은 좁고 조명이 없습니다.
Wi-Fi 속도를 저하시키는 네트워크 혼잡을 해결하는 2가지 방법
Wi-Fi 네트워크는 라우터, 대역폭, 간섭 외에도 여러 요인의 영향을 받지만 네트워크를 강화하는 몇 가지 스마트한 방법이 있습니다.
Tenorshare Reiboot를 사용하여 데이터 손실 없이 iOS 17에서 iOS 16으로 다운그레이드하는 방법
휴대폰에서 안정적인 iOS 16으로 돌아가려면 iOS 17을 제거하고 iOS 17에서 16으로 다운그레이드하는 기본 가이드는 다음과 같습니다.
매일 요구르트를 먹으면 몸에 어떤 일이 일어날까요?
요거트는 정말 좋은 음식이에요. 매일 요구르트를 먹는 것이 좋은가요? 매일 요구르트를 먹으면, 몸에 어떤 변화가 있을까요? 함께 알아보죠!
어떤 종류의 쌀이 건강에 가장 좋은가요?
이 기사에서는 가장 영양가 있는 쌀 종류와 어떤 쌀을 선택하든 건강상의 이점을 극대화하는 방법에 대해 설명합니다.
아침에 제 시간에 일어나는 방법
수면 일정과 취침 루틴을 정하고, 알람 시계를 바꾸고, 식단을 조절하는 것은 더 나은 수면을 취하고 아침에 제때 일어나는 데 도움이 되는 몇 가지 방법입니다.
Rent Please!를 플레이하기 위한 팁 초보자를 위한 집주인 시뮬레이션
임대해 주세요! Landlord Sim은 iOS와 Android에서 플레이할 수 있는 모바일 시뮬레이션 게임입니다. 여러분은 아파트 단지의 집주인 역할을 하며 아파트 내부를 업그레이드하고 세입자가 입주할 수 있도록 준비하여 임대를 시작하게 됩니다.
최신 욕실 타워 디펜스 코드 및 코드 입력 방법
욕실 타워 디펜스 Roblox 게임 코드를 받고 신나는 보상을 받으세요. 이들은 더 높은 데미지를 지닌 타워를 업그레이드하거나 잠금 해제하는 데 도움이 됩니다.
변압기의 구조, 기호 및 동작 원리
변압기의 구조, 기호, 동작 원리에 대해 가장 정확한 방법으로 알아보겠습니다.
AI가 스마트 TV를 더욱 개선하는 4가지 방법
더 나은 화질과 음질, 음성 제어 등 AI 기반 기능 덕분에 스마트 TV가 훨씬 더 좋아지고 있습니다!
ChatGPT가 DeepSeek보다 나은 이유
처음에 사람들은 DeepSeek에 큰 기대를 걸었습니다. ChatGPT의 강력한 경쟁자로 마케팅되는 AI 챗봇으로서, 지능적인 채팅 기능과 경험을 약속합니다.
Fireflies.ai를 만나보세요: 여러분의 업무 시간을 절약해주는 무료 AI 비서
다른 필수 사항을 적다 보면 중요한 세부 사항을 놓치기 쉽고, 채팅하면서 메모를 하려고 하면 주의가 산만해질 수 있습니다. Fireflies.ai가 해결책입니다.
마인크래프트에서 악솔로틀 키우는 법, 마인크래프트 도롱뇽 길들이는 법
Axolot Minecraft는 플레이어가 사용법을 안다면 수중에서 작업할 때 큰 도움이 될 것입니다.
A Quiet Place: The Road Ahead PC 게임 구성
'콰이어트 플레이스: 더 로드 어헤드'의 구성은 상당히 높은 평가를 받고 있으므로, 다운로드하기로 결정하기 전에 구성을 고려해야 합니다.