IT之家7月16日消息 7 月 15 日,騰訊安全玄武實驗室發佈了一項命名為 “BadPower”的重大安全問題研究報告。報告指出,市面上現行大量快充終端設備存在安全問題,攻擊者可通過改寫快充設備的固件控制充電行為,造成被充電設備元器件燒燬,甚至更嚴重的後果。
▲某受電設備遭 BadPower 攻擊時芯片燒燬的情況
IT之家瞭解到,報告顯示,騰訊玄武安全實驗室對市面上 35 款支持快充技術的充電器、充電寶等產品進行測試,發現其中 18 款存在安全問題。攻擊者可利用特製設備或被入侵的手機、筆記本等數字終端來入侵快充設備的固件,控制充電行為,使其向受電設備提供過高的功率,從而導致受電設備的元器件擊穿、燒燬,還可能進一步給受電設備所在物理環境造成安全風險。攻擊方式包括物理接觸和非物理接觸,有相當一部分攻擊可以通過遠程方式完成。在玄武實驗室發現的 18 款存在 BadPower 問題的設備裏,有 11 款設備可以通過數碼終端進行無物理接觸的攻擊。
玄武實驗室表示,不同的快充協議本身沒有安全性高低的差別,風險主要取決於是否允許通過 USB 口改寫固件,以及是否對改寫固件操作進行了安全校驗等。玄武實驗室表示,市面上快充芯片至少近六成具備成品後通過 USB 口更新固件的功能。
騰訊安全玄武實驗室已將 “BadPower”問題上報給國家主管機構 CNVD。小米和 Anker 將在未來上市的快充產品中加入玄武安全檢測環節。
玄武實驗室表示,大部分 BadPower 問題可通過更新設備固件進行修復。未來,廠商在設計和製造快充產品時可通過提升固件更新的安全校驗機制、對設備固件代碼進行嚴格安全檢查、防止常見軟件漏洞等措施來防止 BadPower 發生。