腾讯安全攻击测试:通过重写快速充电设备固件的控制充电行为,可以烧坏芯片
7月16日消息7月15日,腾讯安全宣武实验室发布了一份名为“BadPower”的重大安全问题研究报告。报告指出,目前市场上大量的快速充电终端设备存在安全问题,攻击者可以通过重写快速充电设备的固件来控制充电行为,导致被充电设备的组件被烧毁,后果更加严重。
当某个电源设备受到坏电源攻击时,芯片烧毁的情况。据信息中心了解,报告显示,腾讯宣武安防实验室在市场上测试了35款支持快速充电技术的充电器和充电宝贝,发现其中18款存在安全问题。攻击者可以利用特殊设备或入侵的手机、笔记本电脑等数字终端入侵快速充电设备的固件,控制充电行为,使其向受电设备提供过高的功率,导致受电设备部件的击穿和烧毁,进而可能对受电设备所在的物理环境造成安全隐患。攻击包括物理接触和非物理接触,相当多的攻击可以远程进行。在宣武实验室发现的18个有坏电源问题的设备中,有11个设备可以通过数字终端进行攻击,而无需物理接触。
宣武实验室表示,不同的快速充电协议在安全性上没有区别,风险主要取决于是否允许通过USB端口重写固件,以及是否对重写固件进行了安全性验证。宣武实验室表示,市场上至少有近60%的快速充电芯片在产品完成后具有通过USB端口更新固件的功能。
腾讯安全宣武实验室向国家主管部门CNVD报告了“BadPower”问题。小米和安科将在未来上市的快速充电产品中增加宣武安全检测。
宣武实验室表示,大多数坏电源问题可以通过更新设备固件来解决。未来,制造商在设计和制造快速充电产品时,可以通过完善固件更新的安全验证机制、严格检查设备的固件代码、防止常见的软件漏洞来防止“坏电”的发生。
