快充不安全?快看看騰訊安全玄武實驗室報告
距離蘋果新機發布的時間越來越近,iPhone12不再標配充電器的消息也不脛而走。而看到這一消息,消費者表示如果降價到一定幅度,這個決定也是可以接受的。相比於用户的擔憂,蘋果的這個決定可是樂壞了這些快充企業。消息一出,便在快充行業中引起不小的轟動,如果iPhone12新機取消標配充電器,勢必將產生一個巨大的市場缺口,給整個快充行業上下游產業鏈帶來極大利好。
可以預見,在iPhone12取消標配充電器之後,市面上第三方USB PD快充充電器,尤其是入門級別的18W PD充電器,將進入銷售的旺季,而作為18W PD快充的靈魂,內置MOS的快充電源芯片也將隨之迎來出貨的高光時刻。
那麼,快充到底安不安全呢?一直以來,圍繞快充的安全性也存在不少疑慮甚至爭議,包括對手機和電池的影響,以及充電技術本身的隱患。
7月16日,騰訊安全玄武實驗室發佈研究報告稱,市面上現行的大量快充設備存在安全問題,攻擊者可通過改寫快充設備的固件控制充電行為,造成被充電設備元器件燒燬,甚至更嚴重的後果,保守估計受影響的終端設備數量可能數以億計,凡是通過USB供電的設備都可能成為受害者。
騰訊將此安全問題命名為“BadPower”,這也是繼“BadBarcode”、“BadTunnel”、“應用克隆”、“殘跡重用”、“BucketShock”等等之後,騰訊安全玄武實驗室發佈的又一安全問題報告。
據介紹,騰訊玄武安全實驗室測試了市面上35款支持快充的充電器、充電寶等產品,發現其中18款存在安全問題,涉及到8個不同品牌、9個不同型號的快充芯片,當然具體名單不能公佈。
藉助此隱患,攻擊者可利用特製設備或被入侵的手機、筆記本等數字終端,入侵快充設備的固件,控制充電行為,使其向受電設備發送過高的功率,從而導致受電設備的元器件擊穿、燒燬,還可能進一步給受電設備所在物理環境造成安全風險。
攻擊方式包括物理接觸和非物理接觸,其中有相當一部分攻擊可以通過遠程方式完成,18款設備有11款都可以通過數碼終端進行無物理接觸的攻擊。
可以看出,BadPower和傳統的安全問題不同,它不會導致用户的數據隱私泄露,但是會造成實實在在的財產損失,甚至威脅人身安全,事實上更加嚴重。
好在,BadPower問題大部分都可以通過更新設備固件的方式進行修復,普通用户可以注意:不要輕易把自己的充電設備借給別人、不要用快充充電器給不支持快充的設備充電等。(這一點,在你選購的時候可以向商家進行諮詢,也可以在產品説明書上查看。如果説明書上還沒有標註的產品,也希望廠商將是否支持快充協議寫進説明書,可以採用直接了當的標註方式,而不是用支持的電壓電流來展示,方便用户識別。)
騰訊還強調,不同的快充協議本身沒有安全性高低的差別,風險主要取決於是否允許通過USB口改寫固件,以及是否對改寫固件操作進行了安全校驗等。所以在選購的時候,一定要選擇對於固件優化更加完善的快充設備。
(編輯:dankeer)