科技日报|快充设备存在安全隐患 被攻击后可能烧毁手机
文章图片
【科技日报|快充设备存在安全隐患 被攻击后可能烧毁手机】快充设备存安全隐患 被攻击后可能烧毁手机
“充电5分钟通话两小时”……随着智能充电设备的普及,各大厂商都在不断革新自家产品的快充技术。一直以来,围绕快充的安全性存在着不少疑虑,其中包括对智能设备和电池的影响,以及充电技术本身是否存在安全隐患。
近期,腾讯安全玄武实验室发布了一项研究报告,其中主要提到了一种被命名为“BadPower”的安全问题。报告指出,研究人员通过对市面上35款采用了快充技术的充电器、充电宝等产品进行了测试,发现其中18款存在安全问题。攻击者(黑客)可通过改写快充设备固件中的程序代码来控制充电行为,可造成被充电设备元器件烧毁甚至爆炸等严重后果。
那么,什么样的快充设备易受到“BadPower”威胁?物理世界与数字世界的边界开始模糊,新型安全威胁不断出现,需要怎样来应对?就此,科技日报采访人员采访了有关专家。
攻击包括物理接触与非物理接触两种
相比传统充电器,快充设备更加智能,其芯片内部的固件上运行着一套程序代码,相当于快充设备的“大脑”,可以控制并调整快充设备与受电设备之间的充电电压,甚至可以与受电设备交换数据等。
“但是,作为控制和调整充电过程的核心,快充设备上运行的程序代码并没有得到很好的保护。”清华大学网络科学与网络空间研究院副教授张超介绍说,很多快充设备没有设置安全校验,通过受电设备就能毫无阻碍地接触到其程序代码,并能够实现对程序代码的替换;另外,还有部分快充设备的程序代码并不完善,其存在的安全漏洞很容易被攻击者所利用,进而引导其去执行错误或者恶意的行为。
在本次腾讯安全玄武实验室发布的“BadPower”问题报告中,攻击者是如何实现改写固件中的程序代码的?
科技日报采访人员了解到,“BadPower”的攻击方式包括物理接触和非物理接触。报告指出,攻击者发动物理接触攻击,主要是通过直接更换充电宝、快充转接器等设备固件,或利用手机、笔记本电脑等连接快充设备的数字终端改写快充设备固件中的代码,从而实现对充电过程中的电压电流等加以控制。
“具体来说,攻击者通过入侵充电设备改变充电功率,致使受电设备的元器件被击穿、烧毁,还可能给受电设备所在物理环境带来安全隐患。”福州大学数学与计算机科学学院院长助理、网络系统信息安全福建省高校重点实验室主任刘西蒙教授介绍说。
据了解,腾讯安全玄武实验室发现的18款存在“BadPower”问题的设备里,有11款设备可以进行无物理接触的攻击。
“当攻击者无法直接物理接触快充设备时,可以通过网络远程把攻击代码植入受电设备,当受电设备与快充设备连接时,攻击代码就可以直接替换掉快充设备固件上的程序代码。”张超说。
当攻击者替换了快充设备固件的程序代码后,一旦有新的受电设备连接到该快充设备,就会面临电压攻击的威胁。
USB接口可能成为风险入口
据了解,这18款存在“BadPower”问题的设备,涉及8个品牌、9个不同型号的快充芯片。
“只要充电器同时满足不允许修改固件中的代码、对固件进行安全校验两个条件,就不会出现类似安全风险。”刘西蒙指出,不同快充协议本身没有安全性高低的差别,风险主要取决于是否允许通过USB口改写固件中的代码,以及是否对改写操作进行了安全校验等。
腾讯安全玄武实验室针对市面上的快充芯片进行了调研,发现近六成可通过USB口更新代码,安全风险不容忽视。那么,“BadPower”是否对用户隐私安全问题构成威胁?
“市场上的正常快充设备的体积和硬件能力受限,无法执行复杂的恶意行为,因此,当前披露的‘BadPower’攻击并不会造成用户隐私泄露问题。”张超说。
推荐阅读
- 中年检测设备行业政策及环境
- 问董秘|提供设备和技术的正是克劳...,投资者提问:中石油系统已经大量加入做聚丙烯熔喷料
- iqoo|IQOO正式亮剑,120w快充+120赫兹高刷,惊喜在处理器
- 豪恩仪器 HAST高温高压加速老化箱
- 博科园 攻克光无线通信:在手机和其他设备传输信息过程的难题!,太好了
- 上海水上移动医院|上海水上移动医院 设备齐全 前线人员辛苦了!
- 环球时报新媒体|澳议员称中国设备对澳供电安全造成威胁,再次炒作“中国威胁论”
- 科技日报|中国北斗正式登上世界舞台 如何打造世界导航“朋友圈”?
- 科技日报|美国:一种腺病毒新冠疫苗动物试验结果良好
- 光明网|应对高温,休息间、茶水、降暑药、喷淋设备都安排上了