互联网|快充不安全?快看看腾讯安全玄武实验室报告


距离苹果新机发布的时间越来越近 , iPhone12不再标配充电器的消息也不胫而走 。 而看到这一消息 , 消费者表示如果降价到一定幅度 , 这个决定也是可以接受的 。 相比于用户的担忧 , 苹果的这个决定可是乐坏了这些快充企业 。 消息一出 , 便在快充行业中引起不小的轰动 , 如果iPhone12新机取消标配充电器 , 势必将产生一个巨大的市场缺口 , 给整个快充行业上下游产业链带来极大利好 。
可以预见 , 在iPhone12取消标配充电器之后 , 市面上第三方USB PD快充充电器 , 尤其是入门级别的18W PD充电器 , 将进入销售的旺季 , 而作为18W PD快充的灵魂 , 内置MOS的快充电源芯片也将随之迎来出货的高光时刻 。
【互联网|快充不安全?快看看腾讯安全玄武实验室报告】互联网|快充不安全?快看看腾讯安全玄武实验室报告
本文插图
据网上不完全统计 , 目前已有PI、东科、芯茂微、芯朋、美思迪赛、茂睿芯、硅动力等24家芯片品牌推出了116款内置MOS的电源芯片 , 包括内置MOS的初级芯片53款 , 以及内置MOS的次级芯片63款 。

那么 , 快充到底安不安全呢?一直以来 , 围绕快充的安全性也存在不少疑虑甚至争议 , 包括对手机和电池的影响 , 以及充电技术本身的隐患 。

7月16日 , 腾讯安全玄武实验室发布研究报告称 , 市面上现行的大量快充设备存在安全问题 , 攻击者可通过改写快充设备的固件控制充电行为 , 造成被充电设备元器件烧毁 , 甚至更严重的后果 , 保守估计受影响的终端设备数量可能数以亿计 , 凡是通过USB供电的设备都可能成为受害者 。
腾讯将此安全问题命名为“BadPower” , 这也是继“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”等等之后 , 腾讯安全玄武实验室发布的又一安全问题报告 。
互联网|快充不安全?快看看腾讯安全玄武实验室报告
本文插图
某受电设备遭BadPower攻击时芯片烧毁的情况

据介绍 , 腾讯玄武安全实验室测试了市面上35款支持快充的充电器、充电宝等产品 , 发现其中18款存在安全问题 , 涉及到8个不同品牌、9个不同型号的快充芯片 , 当然具体名单不能公布 。
借助此隐患 , 攻击者可利用特制设备或被入侵的手机、笔记本等数字终端 , 入侵快充设备的固件 , 控制充电行为 , 使其向受电设备发送过高的功率 , 从而导致受电设备的元器件击穿、烧毁 , 还可能进一步给受电设备所在物理环境造成安全风险 。

攻击方式包括物理接触和非物理接触 , 其中有相当一部分攻击可以通过远程方式完成 , 18款设备有11款都可以通过数码终端进行无物理接触的攻击 。
可以看出 , BadPower和传统的安全问题不同 , 它不会导致用户的数据隐私泄露 , 但是会造成实实在在的财产损失 , 甚至威胁人身安全 , 事实上更加严重 。
互联网|快充不安全?快看看腾讯安全玄武实验室报告
本文插图
攻击效果动图演示

好在 , BadPower问题大部分都可以通过更新设备固件的方式进行修复 , 普通用户可以注意:不要轻易把自己的充电设备借给别人、不要用快充充电器给不支持快充的设备充电等 。 (这一点 , 在你选购的时候可以向商家进行咨询 , 也可以在产品说明书上查看 。 如果说明书上还没有标注的产品 , 也希望厂商将是否支持快充协议写进说明书 , 可以采用直接了当的标注方式 , 而不是用支持的电压电流来展示 , 方便用户识别 。 )
腾讯还强调 , 不同的快充协议本身没有安全性高低的差别 , 风险主要取决于是否允许通过USB口改写固件 , 以及是否对改写固件操作进行了安全校验等 。 所以在选购的时候 , 一定要选择对于固件优化更加完善的快充设备 。


推荐阅读