Apple, 프라이빗 클라우드 컴퓨팅에서 보안 취약점을 발견하는 사람에게 100만 달러 보상 제공
이러한 움직임을 통해 Apple은 PCC를 중심으로 신뢰와 투명성을 구축하고, 클라우드에서 사용자 개인 정보 보호 및 보안을 강화하려는 의지를 보이고 있습니다.
전 세계 10억 대의 기기에 사용되는 블루투스 칩에서 보안 결함 발견
ESP32는 중국 제조업체인 에스프레시프(Espressif)가 출시한 매우 인기 있는 저가형 칩으로, 2023년까지 전 세계적으로 10억 대 이상의 기기에 사용될 것으로 추정되며, 공격에 악용될 수 있는 문서화되지 않은 "백도어"를 포함하고 있습니다.
이러한 문서화되지 않은 명령을 사용하면 신뢰할 수 있는 장치로 가장하고, 데이터에 대한 무단 액세스, 네트워크의 다른 장치로 리디렉션하고, 지속성을 확립할 수 있습니다.
이 발견은 Tarlogic Security 팀의 스페인 사이버보안 연구원인 미구엘 타라스코 아쿠냐와 안토니오 바스케스 블랑코에 의해 공개되었습니다. 마드리드에서 열린 RootedCON 컨퍼런스에서 다음과 같은 성명이 발표되었습니다.
Tarlogic Security는 WiFi와 Bluetooth 연결을 지원하는 마이크로컨트롤러 제품군인 ESP32에서 백도어를 발견했습니다. ESP32는 시중에 판매되는 수백만 대의 IoT 기기에 탑재되어 있습니다. 이 백도어를 악용하면 악의적인 행위자가 스푸핑 공격을 수행하고 코드 검사를 우회하여 휴대전화, 컴퓨터, 스마트 잠금 장치 또는 의료 기기와 같은 민감한 장치를 영구적으로 감염시킬 수 있습니다.
ESP32는 IoT(사물 인터넷) 기기의 Wi-Fi + Bluetooth 연결에 전 세계적으로 가장 널리 사용되는 칩 중 하나이므로 백도어가 존재할 위험이 매우 큽니다.
ESP32의 백도어
RootedCON에서 진행된 프레젠테이션에서 Tarlogic 연구원들은 Bluetooth 보안 연구에 대한 관심이 감소했지만, 이는 프로토콜이나 구현의 보안이 강화되었기 때문이 아니라고 설명했습니다.
그런데 작년에 나타난 대부분의 공격은 제대로 작동하는 도구가 없었고, 주류 하드웨어와 호환되지 않았으며, 현대 시스템과는 크게 호환되지 않는 오래되거나 유지 관리되지 않은 도구를 사용했습니다.
Tarlogic은 운영 체제별 API에 의존하지 않고 하드웨어에 직접 액세스할 수 있는 새로운 C 기반, 하드웨어 독립형, 크로스 플랫폼 USB Bluetooth 드라이버를 개발했습니다.
Bluetooth 트래픽에 대한 원시 액세스를 허용하는 이 새로운 도구를 사용하여 Tarlogic은 ESP32 Bluetooth 펌웨어에서 숨겨진 공급업체별 명령(Opcode 0x3F)을 발견했으며, 이를 통해 Bluetooth 기능의 저수준 제어가 가능해졌습니다.
그들은 총 29개의 문서화되지 않은 명령을 발견했는데, 이를 통칭하여 "백도어"라고 하며, 메모리 조작(RAM 및 플래시 읽기/쓰기), MAC 주소 스푸핑(장치 스푸핑), LMP/LLCP 패킷 푸시에 악용될 수 있습니다. 이 문제는 현재 CVE-2025-27840이라는 식별자로 추적되고 있습니다.
잠재적 위험
이러한 명령으로 인해 발생하는 위험에는 OEM 수준의 악의적 배포 및 공급망 공격이 포함됩니다.
Bluetooth 스택이 장치에서 HCI 명령을 처리하는 방식에 따라 악성 펌웨어나 스푸핑된 Bluetooth 연결을 통해 원격 백도어 악용이 가능할 수 있습니다.
특히 공격자가 이미 루트 액세스 권한을 가지고 있거나, 맬웨어를 설치하거나, 장치에 악성 업데이트를 푸시하여 저수준 액세스가 가능한 경우에 그렇습니다.
그러나 일반적으로 장치의 USB나 UART 인터페이스에 물리적으로 접근하는 것은 훨씬 더 위험하고 현실적인 공격 시나리오입니다.
" ESP32 칩을 실행하는 IoT 기기를 손상시킬 수 있는 시나리오에서는 ESP 메모리에 APT(지속 가능한 고급 위협)를 숨기고 다른 기기를 대상으로 Bluetooth(또는 Wi-Fi) 공격을 수행하는 동시에 Wi-Fi/Bluetooth를 통해 기기를 제어할 수 있습니다 ."라고 팀은 설명했습니다. " 이번 발견은 ESP32 칩을 완벽하게 제어하고 RAM과 플래시 메모리를 수정할 수 있는 명령을 통해 칩 내부에서 지속성을 유지할 수 있게 해 줄 것입니다. 또한, ESP32가 고급 블루투스 공격을 허용하기 때문에 칩 내부에서 지속성을 유지함으로써 다른 장치로 확산될 가능성도 있습니다 . "
WebTech360에서는 이 문제에 대한 정보를 계속해서 업데이트할 예정이니 주의해주시기 바랍니다.
Qualcomm 칩 결함으로 수억 대의 휴대전화가 원격 해킹에 취약
Qualcomm은 인기 있는 Android 기기에 널리 사용되는 Snapdragon 8 Gen 1, Snapdragon 888을 포함하여 자사 칩셋 64개에 영향을 미치는 제로데이 취약점(CVE-2024-43047)을 확인했습니다.
삼성에서 삭제된 알림을 검토하는 방법
삼성의 새로운 One UI 3.0 버전에서는 사용자가 삼성 상태 표시줄에서 삭제된 알림을 검토하는 등 여러 가지 흥미롭고 매력적인 기능을 사용할 수 있습니다.
국제 남성의 날 축하 인사, 11월 19일 남자친구, 연인, 남편을 위한 달콤하고 낭만적인 축하 인사
11월 19일에 당신의 연인에게 전하는 가장 좋고 짧은 소원은 무엇인가요? 아이디어가 떠오르지 않는다면, 이 글에서 의미 있는 11월 19일 소원을 제안해드리겠습니다.
스웨터를 스타일리시하고 편안하게 입는 방법
기본 스웨터는 가을과 겨울 옷장에 꼭 필요한 아이템입니다. 간단하면서도 세련된 방식으로 스웨터를 믹스 앤 매치하는 방법을 소개합니다.
적을 친구로 만드는 가장 쉬운 방법
적이 있다는 것은 언제나 불쾌한 상황이다. 다행히도, 적을 친구로 만들 수 있습니다. 다음은 누구나 할 수 있는 관계를 회복하는 간단한 몇 가지 방법입니다.
Netflix 계정 1개를 동시에 몇 명이 사용할 수 있나요?
Netflix는 휴대폰, 태블릿, 게임 콘솔, 스트리밍 기기 등 모든 기기에서 쉽게 접속할 수 있으므로, 동일한 계정으로 동시에 몇 명이 Netflix를 시청할 수 있는지 궁금할 것입니다.
Word에서 표의 셀을 가운데에 맞추는 방법
Word에서 표 작업을 할 때 셀을 가운데 정렬하는 작업은 각 셀의 텍스트를 규정에 맞게 다시 포맷하고, 보다 아름답고 보기 쉬운 레이아웃의 Word 표를 만들기 위해 수행해야 하는 작업입니다.
삼성, OpenAI와 손잡고 AI TV 개발…다양한 흥미로운 기능 약속
삼성전자가 OpenAI와 함께 업계 최고의 인공지능 기술을 통합한 AI TV를 개발하는 야심찬 공동 프로젝트를 진행 중인 것으로 알려졌습니다.
Minecraft 1.21 업데이트 공식 출시일이 공개되었습니다.
많은 스냅샷, 추가 및 변경을 거쳐 업데이트가 완료되어 출시할 준비가 되었습니다. Minecraft 1.21 공식 출시일이 공개되었습니다!
중국의 능숙한 춤추는 로봇의 공연을 눈으로 감상하세요.
중국 최대 로봇 회사인 유니트리가 제작한 인간형 로봇 16대가 CCTV의 연례 춘절 갈라에서 놀라운 창의성을 선보이며 주목을 받았습니다.
자연 건조된 옷과 기계 건조된 옷은 왜 다른가요?
왜 옷과 수건은 기계로 말리면 부드럽고 매끈한데, 걸어서 말리면 거칠거나 거친 느낌이 드는 걸까요?
NASA가 우주를 모니터링하기 위해 36픽셀 장치를 사용하는 이유는 무엇일까요?
NASA의 위성은 Resolve라는 이미징 도구를 사용하는데, 이 도구의 센서는 36픽셀에 불과합니다.
ITunes Store에 연결할 수 없는 오류, 해결 방법은 다음과 같습니다.
iPhone, iPad, Mac에서 App Store를 열어 애플리케이션이나 게임을 다운로드하려고 하면, iTunes Store에 연결할 수 없다는 오류가 나타나는데, 해결 방법은 다음과 같습니다.
Google Chrome에서 유용한 가상 사설망
VPN(가상 사설망)은 간단히 말해 특정 서비스 제공자를 기반으로 네트워크 연결을 생성할 수 있는 가상 사설망 시스템으로 이해됩니다.
발렌타인데이를 위한 사랑 영상 만드는 법
발렌타인데이는 커플이 서로에 대한 감정을 표현하는 날입니다. 연인에게 보낼 발렌타인 카드를 만들거나, 발렌타인데이를 기념하기 위해 사진을 콜라주하거나, 발렌타인데이를 위한 영상을 제작할 수도 있습니다.
Hyper Light Breaker PC 구성
컴퓨터가 Hyper Light Breaker를 실행하는 데 필요한 최소 요구 사항을 충족하지 못할 경우 성능 문제가 발생하거나 게임을 실행하지 못할 수 있습니다.