Investigadores de ciberseguridad de la empresa Tarlogic presentaron este pasado 6 de marzo en la conferencia RootedCON celebrada en Madrid, su solución para auditar dispositivos bluetooth. En este contexto, Tarlogic ha detectado 29 comandos no documentados por el fabricante Espressif en el módulo ESP32, un microcontrolador que permite la conexión wifi y bluetooth. El ESP32 es uno de los modelos más usados mundialmente en entornos de redes IoT (Internet de las cosas) y está presente en millones de dispositivos de gran consumo.
Este tipo de comandos específicos del fabricante, pueden utilizarse para leer/escribir memoria RAM y flash, así como para enviar algunos tipos de paquetes de bajo nivel que normalmente no se pueden enviar desde el propio Host, debido a las características propias de estos dispositivos bluetooth. La existencia de este tipo de comandos no presenta un riesgo para la seguridad por sí mismo, pero sí reflejan que existe una mala práctica por parte del fabricante, lo cual facilita que se comprometa la seguridad de estos dispositivos por parte de un actor malintencionado.
A pesar de que no existe riesgo alto, Espressif declaró que compartirá una actualización de software para permitir a los usuarios eliminar estos comandos de depuración.
El caso se ha registrado como la vulnerabilidad CVE-2025-27840.
-
08/03/2025 bleepingcomputer.com Undocumented commands found in Bluetooth chip used by a billion devices
-
10/03/2025 espressif.com Espressif’s Response to Claimed Backdoor and Undocumented Commands in ESP32 Bluetooth Stack
-
09/03/2025 cheriot.org Why the alleged ESP32 backdoor couldn't happen here
-
09/03/2025 darkmentor.com The ESP32 "backdoor" that wasn't