“充电5分钟通话两小时”……随着智能充电设备的普及, 各大厂商都在不断革新自家产品的快充技术 。 一直以来, 围绕快充的安全性存在着不少疑虑, 其中包括对智能设备和电池的影响, 以及充电技术本身是否存在安全隐患 。
近期, 腾讯安全玄武实验室发布了一项研究报告, 其中主要提到了一种被命名为“BadPower”的安全问题 。 报告指出, 研究人员通过对市面上35款采用了快充技术的充电器、充电宝等产品进行了测试, 发现其中18款存在安全问题 。 攻击者(黑客)可通过改写快充设备固件中的程序代码来控制充电行为, 可造成被充电设备元器件烧毁甚至爆炸等严重后果 。
那么, 什么样的快充设备易受到“BadPower”威胁?物理世界与数字世界的边界开始模糊, 新型安全威胁不断出现, 需要怎样来应对?就此, 科技日报采访人员采访了有关专家 。
攻击包括物理接触与非物理接触两种
相比传统充电器, 快充设备更加智能, 其芯片内部的固件上运行着一套程序代码, 相当于快充设备的“大脑”, 可以控制并调整快充设备与受电设备之间的充电电压, 甚至可以与受电设备交换数据等 。
“但是, 作为控制和调整充电过程的核心, 快充设备上运行的程序代码并没有得到很好的保护 。 ”清华大学网络科学与网络空间研究院副教授张超介绍说, 很多快充设备没有设置安全校验, 通过受电设备就能毫无阻碍地接触到其程序代码, 并能够实现对程序代码的替换;另外, 还有部分快充设备的程序代码并不完善, 其存在的安全漏洞很容易被攻击者所利用, 进而引导其去执行错误或者恶意的行为 。
在本次腾讯安全玄武实验室发布的“BadPower”问题报告中, 攻击者是如何实现改写固件中的程序代码的?
科技日报采访人员了解到, “BadPower”的攻击方式包括物理接触和非物理接触 。 报告指出, 攻击者发动物理接触攻击, 主要是通过直接更换充电宝、快充转接器等设备固件, 或利用手机、笔记本电脑等连接快充设备的数字终端改写快充设备固件中的代码, 从而实现对充电过程中的电压电流等加以控制 。
“具体来说, 攻击者通过入侵充电设备改变充电功率, 致使受电设备的元器件被击穿、烧毁, 还可能给受电设备所在物理环境带来安全隐患 。 ”福州大学数学与计算机科学学院院长助理、网络系统信息安全福建省高校重点实验室主任刘西蒙教授介绍说 。
据了解, 腾讯安全玄武实验室发现的18款存在“BadPower”问题的设备里, 有11款设备可以进行无物理接触的攻击 。
“当攻击者无法直接物理接触快充设备时, 可以通过网络远程把攻击代码植入受电设备, 当受电设备与快充设备连接时, 攻击代码就可以直接替换掉快充设备固件上的程序代码 。 ”张超说 。
【快充设备存安全隐患 被攻击后可能烧毁手机】当攻击者替换了快充设备固件的程序代码后, 一旦有新的受电设备连接到该快充设备, 就会面临电压攻击的威胁 。
USB接口可能成为风险入口
据了解, 这18款存在“BadPower”问题的设备, 涉及8个品牌、9个不同型号的快充芯片 。
“只要充电器同时满足不允许修改固件中的代码、对固件进行安全校验两个条件, 就不会出现类似安全风险 。 ”刘西蒙指出, 不同快充协议本身没有安全性高低的差别, 风险主要取决于是否允许通过USB口改写固件中的代码, 以及是否对改写操作进行了安全校验等 。
推荐阅读
- 苹果13铃声怎么设置
- bios通电自动开机设置
- 疯狂的手机开孔全屏幕设计 据称明年将取代目前的刘海屏
- 微软为双屏移动设备申请专利 专注于视频通话
- 电脑中文件显示后缀名怎么设置
- 如何设置群代办
- 苹果成自研芯片狂魔!iPhone 11 U1为自主设计芯片
- 怎么设置来电秀视频铃声
- 三星新专利揭示了一种带有水滴凹口和框架内传感器的设计
- 可折叠有机电池问世 可用于起搏器等人体植入设备