【TMT前沿】
光明網記者 李政葳
“市面上現行大量快充終端裝置存在安全問題,攻擊者可透過改寫快充裝置韌體控制充電行為,造成被充電裝置元器件燒燬,甚至更嚴重的後果。”7月15日,騰訊安全玄武實驗室釋出的一份名為“BadPower”的安全問題研究報告稱,該實驗室對市面上35款支援快充技術充電器、充電寶等產品進行測試,發現其中18款存在安全問題。
這是繼“BadTunnel”“應用克隆”“殘跡重用”“BucketShock”等在業內引起廣泛關注的安全問題之後,該機構釋出的又一份網路安全問題報告。記者瞭解到,該實驗室已將“BadPower”問題上報國家主管機構國家資訊保安漏洞共享平臺(CNVD),同時也與相關廠商一起推動行業採取積極措施。
某受電裝置遭BadPower攻擊時燒燬情況
焦點一:漏洞攻擊如何實施
報告指出,攻擊者可利用特製裝置或被入侵的手機、筆記本等數字終端,來入侵快充裝置韌體,控制充電行為,使其向受電裝置提供過高的功率,從而導致受電裝置的元器件擊穿、燒燬,還可能進一步給受電裝置所在物理環境造成安全風險。攻擊方式包括物理接觸和非物理接觸,有相當一部分攻擊可以透過遠端方式完成。
記者瞭解到,該實驗室發現的18款存在BadPower問題的裝置裡,有11款裝置可以透過數碼終端進行無物理接觸的攻擊。這18款存在BadPower問題裝置涉及8個品牌、9個不同型號的快充晶片。
焦點二:不同快充協議下產品安全性有何差別
“不同快充協議本身沒有安全性高低差別,風險主要取決於是否允許透過USB口改寫韌體,以及是否對改寫韌體操作進行安全校驗等。”實驗室相關負責人表示,他們針對市面快充晶片進行調研,發現至少近六成具備成品後透過USB口更新韌體的功能;使用這些晶片製造產品時需要在設計和實現上充分考慮安全,否則就可能導致BadPower問題。
該負責人還提到,大部分BadPower問題可透過更新裝置韌體進行修復。未來,廠商在設計和製造快充產品時可透過提升韌體更新的安全校驗機制、對裝置韌體程式碼進行嚴格安全檢查、防止常見軟體漏洞等措施來防止BadPower發生;也建議相關部門將安全校驗技術要求納入快速充電技術國家標準。
焦點三:從產品生產階段到設計階段,呼籲“安全前置”
“BadPower不是傳統安全問題,不會導致資料隱私洩露,但會給使用者造成實實在在的財產損失。BadPower再次提醒我們,隨著資訊科技發展,數字世界和物理世界之間的界限正變得越來越模糊。” 騰訊安全玄武實驗室負責人於暘說。
他還提到,工業控制系統、車聯網系統安全可能會影響物理世界,但這些似乎距離大多數人比較遙遠,而BadPower讓我們意識到即使這種家家都有的不起眼的小東西,也可能打破數字世界和物理世界之間的結界。
“要實現萬物互聯,就需要考慮萬物安全。BadPower是設計過程引入的問題。我們這些年一直在呼籲安全前置,要從生產階段前置到設計階段。”於暘說。
【延伸閱讀】
還有這些移動應用安全漏洞,你知道多少?
●“BadTunnel漏洞”
BadTunnel漏洞是Windows原始設計的問題,它能實現近乎完美的“靜默執行”。當受害者點選一個網路連線,或是插入USB裝置時,駭客就能劫持使用者所有網路使用,併成為使用者電腦的“老大哥”。更糟糕的是,即使安全軟體開啟主動防禦功能,也無法檢測到該攻擊。發現該漏洞的研究人員稱,駭客能透過Edge瀏覽器、Internet Explorer、Office以及運行於Windows上的第三方軟體,甚至網路伺服器和可移動裝置(如隨身碟)入侵使用者電腦。
●“應用克隆”漏洞
2018年1月份,國內安全機構披露,檢測發現國內安卓應用市場約有十分之一的APP存在漏洞,支付寶、攜程、餓了麼等多個主流APP均在列,並且這種漏洞易被“應用克隆”攻擊。該攻擊模型基於移動應用基本設計特點,幾乎所有應用均適用該模型。在這種攻擊模型視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕鬆“克隆”使用者賬戶。
●“殘跡重用”漏洞
2018年10月份,國內安全機構披露在安卓手機中普遍應用的屏下指紋技術嚴重漏洞——“殘跡重用”漏洞。這一漏洞源頭並非手機廠商,而是屏下指紋晶片廠商,屬於屏下指紋技術設計層面問題,會幾乎無差別地影響所有使用屏下指紋技術裝置。利用該漏洞,攻擊者只需一秒鐘就可以解鎖手機。
●“BucketShock”
2019年底,在一場國內安全峰會上,業界人士提出了“BucketShock”漏洞概念,稱所有云儲存應用中可能超過70%存在該問題。不法分子可在獲取使用者對雲端儲存訪問憑據的情況下,遠端讀取、修改雲端儲存中的內容。
來源:光明網