Чипы GigaDevice GD32 в зоне риска: исследователи из Positive Labs обнаружили уязвимости в технологии защиты их прошивки от считывания: https://vk.cc/cEj8KF Ими могут воспользоваться потенциальные злоумышленники, чтобы извлечь прошивку, найти в ней слабые места для атаки, модифицировать или украсть внутреннее ПО и выпустить устройство под другой маркой. 🤔 Как так вышло Наши исследователи обнаружили баг в одном из микроконтроллеров, а после для независимой проверки купили и протестировали еще 11 разных чипов GigaDevice из серии GD32, предварительно активировав в них технологию защиты. В результате эксперты смогли извлечь прошивку в незашифрованном виде и найти несколько уязвимостей, позволяющих полностью нарушить работу конечных устройств без возможности восстановления. 😨 Чем это опасно Вендоры из многих стран, включая Россию, используют микроконтроллеры GigaDevice GD32 во множестве сложных устройств: от автомобильных двигателей (https://www.gigadevice.com/solution/automotive-and-industrial/motor-driver) и аккумуляторов (https://www.gigadevice.com/solution/automotive-and-industrial/bms) до систем доступа в помещение (https://www.gigadevice.com/solution/iot/smart-door-lock). «Скаченная прошивка в открытом виде облегчает для атакующего поиск уязвимостей в оборудовании — а данные микроконтроллеры в последние полтора года нередко используются в российской продукции для замены популярных 32-битных микросхем производства STMicroelectronics», — рассказывает Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies. 🧐 Что с этим делать Мы уведомили производителя об угрозе в рамках политики ответственного разглашения. Однако, учитывая, как трудно устранять угрозы, связанные с аппаратными уязвимостями, наши эксперты рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, в которых технология защиты от скачивания прошивки протестирована независимыми исследователями. Пользователи могут запросить наименования микроконтроллеров у производителя конечного устройства или посмотреть маркировку чипа, разобрав его самостоятельно. Пользуйтесь проверенными чипами и оставайтесь в безопасности! #PositiveTechnologies #PositiveЭксперты