Pesquisadores espanhóis presentes na conferência internacional RootedCon identificaram 29 comandos ocultos na comunicação Bluetooth HCI dos chips ESP32, da empresa chinesa Espressif, criando risco de manipulação da memória e controle total do dispositivo (vulnerabilildade CVE-2025-27840, CVSS 6.8, risco médio). Apesar do CVSS médio, a falha permite a falsificação de endereços MAC e acesso não autorizado a dados, embora com a necessidade de acesso físico ao dispositivo ou privilégios elevados – não sendo explorável remotamente via Bluetooth.
Leia também
Golpes de PIX contam com mais 290 domínios
Botnet com 1,6 milhão de TV boxes tem 400 mil no Brasil
A vulnerabilidade foi apresentada na RootedCon, conferência espanhola de segurança, onde especialistas alertaram que o impacto depende do nível de acesso ao dispositivo. Segundo o pesquisador Pascal Gujer, os comandos são uma ferramenta de pós-exploração, e não um backdoor automático.
A atualização de firmware pode mitigar o problema, mas nem todos os fabricantes de dispositivos IoT oferecem atualizações, tornando a correção difícil na prática. Usuários devem monitorar os sites dos fabricantes para atualizações e verificar a possibilidade de aplicação de patches nos dispositivos afetados.
