BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース ESP32 IoTデバイスに永久ハック可能な脆弱性

ESP32 IoTデバイスに永久ハック可能な脆弱性

原文(投稿日:2019/12/02)へのリンク

あるセキュリティ研究企業が、広く普及しているESP32 IoTチップのセキュリティをすべてバイパスして排除不可能なマルウェアを埋め込むことの可能な、ローカルアクセスのテクニックが存在することを確認した。Espressifはこの脆弱性を認めて、アドバイザリを発行している。同じアタック方法を使えば、暗号化キーを取得して、同デバイスの最もセキュアな設定を操作することも可能になる。

ESP32チップセットは、多数の下位デバイスにおいてWiFiとBluetoothを提供するデュアルコアチップを提供する、この業界では重要な存在である。2018年1月には製造企業のEspressifが、1億デバイスの出荷というマイルストンの達成を発表した。ESP32は、LiFX lightbulbなど多くのデバイスにおいて重要なコンポーネントであるだけでなく、AWS IoTにおけるAWS FreeRTOS準拠デバイスや、Microsoft Azure IoTでも使用されている。

セキュリティ研究企業のLimitedResultsはEspressifと共同で、今回のアドバイザリとエクスプロイトの詳細に関する発表を取りまとめている。この攻撃は、デバイスにデータを書き込むこのと可能なワンタイムプログラマブルメモリである、eFuseを対象にしたものだ。ESP32の公式資料に、この攻撃が可能な理由が説明されている。"eFuseは、一旦1に書き込むと0に戻すことの不可能な1bitフィールドです。" ペイロードをデバイスのeFuseに書き込むと、ソフトウェア更新によってリセットすることはできず、デバイスを物理的に置き換えるか、あるいは破棄する以外に方法はない。この攻撃の持つ重大なリスクは、ファームウェア全体を置き換えるものではないという点だ。そのためデバイスは、通常の動作を行っているように見える可能性がある。また、攻撃に永続性のあることは、サプライチェーンやリセールといった状況で特に問題となる。チェーンの一部がESP32 eFuseに新たなペイロードを配置することにより、デバイスが将来にわたって完全に侵害されることになるからだ。2010年に出荷中のCiscoルータに対して行われた同様のサプライチェーン攻撃は、カスタムペイロードによって明らかになっている。

影響はホビーストデバイスや低コストのIoT製品に留まらない。LimitedResultsがInfoQに語ったところでは、

ESP32の組み込みセキュリティを使用したデバイスは、電球やネット接続温度計だけではありません。温度計は、物理的アクセスの可能なハッカーにはまったくの無防備なのです ... セキュアなESPは、さらに高価なデバイスでも使用されています。そのような場所では、ハッキングによってデバイス自体が危険にさらされるだけではありません。認証されないリソースやサブシステムの使用によって、環境全体が危険な状況になりかねないのです。

CVE-2019-17391では、電圧グリッチによってデバイスの暗号化を攻撃する。これは、デバイスのピンに戦略的にHIGH / LOWパルスを送信して、チップ命令を混乱させるという、広く知られた攻撃手段である。例えば、セキュリティチェック中に、CPUのリセットピンにHIGH信号を送信することで、インストラクションを中断することが可能になる。LimitedResultsではこの攻撃を、1,000米ドル程度のハードウェア上で、1日以内に実施可能であると推定している。

ハードウェアによる軽減策は限られている。TPM(Trusted Platform Module)を使用する一般的なテクニックも、2019年のTPM Fail、2018年のTPM Genieなど、すでにクラックされている。AWS IoT Coreセキュリティ推奨はこの攻撃や、あるいは他のローカルアクセス攻撃の影響を限定することが可能である。特に同推奨にあるように、デバイス毎にひとつのIDを使用すれば、侵害されたデバイスや長期間更新されていないデバイスに対して、そのIDを無効にしたり、スコープを制限することが可能になる。

ESP32をデバイスで使用していて、デバイスの交換が不可能な場合には、eFuseをチェックするファームウェアへのアップデートに加えて、ESP32チップをサプライチェーンに再導入しないようなデバイスリサイクルプログラムの導入を検討する必要がある。

この記事に星をつける

おすすめ度
スタイル

BT