“手机支持快充的观察了!这一安全漏洞或致设备被烧毁”
中新网客户端北京7月16日电(记者 吴涛) :“市场上大量快速充电终端设备存在安全问题,攻击者可以通过改写快速充电设备的固件来控制充电行为,使充电设备零部件烧毁或造成更严重的后果。 保守地说,受badpower影响的终端设备数量估计可能达到数亿台。 ”。
16日,腾讯安全玄武实验室发布的一份名为badpower的安全问题研究报告显示,在对市场上35种支持快充技术的手机、充电器、充电宝等产品进行测试时,发现18种存在安全问题。
与一点点漏洞不同,腾讯安全称这是一个影响范围广泛的安全问题,badpower可以从数字世界攻击物理世界。
“在我们的研究成果展示视频中,我们看到了对某usb供电设备的攻击效果,设备内部的芯片被烧毁了。 测试的手机也烧毁了。 结果因攻击对象和攻击场景而异。 具体而言,与过载时的电压、电流、受电设备的电路布局、部件选型、以及外壳材质、内部结构等有关。 大多数情况下,设备内的相关芯片会破坏、烧毁,导致不可逆的物理损坏。 ”。
攻击是如何实施的? 据报道,攻击者利用特制设备、入侵的手机、笔记本电脑等数字终端侵入快速充电设备的固件,控制充电行为向受电设备提供过剩的电力,从而有可能破坏、烧毁受电设备,给有受电设备的物理环境带来更大的安全风险
更严重的是,攻击方法包括物理接触和非物理接触,相当一部分攻击可以通过远程方法进行。 玄武实验室发现的18种有badpower问题的设备中,11种可以通过数字终端进行物理不接触的攻击。
这18种有badpower问题的设备包括8个企业品牌、9个不同型号的快速充电芯片。 玄武实验室表示,不同的快速充电协议本身不存在安全性高低的差异,风险取决于是否允许从usb端口改写固件、是否安全检查了改写固件的操作等。
我们知道目前市场上有许多支持快速充电的手机和其他电子设备 具体设备企业的品牌和模式是否存在上述安全问题?
在腾讯的安全方面,中新网记者表示,实际上支持快速充电技术的可对外供电的设备也可能存在同样的问题。 这包括生产快速充电设备的制造商和生产快速充电芯片的制造商等。 另外,所有通过usb供电的设备都有可能成为badpower电力过载攻击的受害者。
玄武实验室也与市场快速充电芯片进行了对比调查,发现至少有近6成的芯片在配备成品后,具有通过usb端口更新固件的功能。 使用这些芯片制造产品时,在设计和实施上必须充分考虑安全。 否则,可能会引起bad电源的问题。
腾讯安全玄武实验室负责人于旸表示:“badpower是设计过程中引入的问题,这些年来一直呼吁安全前置。 从生产阶段前置到设计阶段,这样的问题很少,但一旦发生,就会影响整个领域。”
这个安全问题怎么处理? 旸表示,badpower的大部分问题可以通过更新设备固件来解决。 今后,制造商可以在设计和制造快速充电产品时提高固件更新的安全检查机制,对设备固件代码进行严格的安全检查,防止常见软件漏洞等措施,防止badpower的发生。
免责声明:58报业网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站将予以删除。