|
光明网记者 李政葳 “市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备固件控制充电行为,造成被充电设备元器件烧毁,甚至更严重的后果。”7月15日,腾讯安全玄武实验室发布的一份名为“BadPower”的安全问题研究报告称,该实验室对市面上35款支持快充技术充电器、充电宝等产品进行测试,发现其中18款存在安全问题。 这是继“BadTunnel”“应用克隆”“残迹重用”“BucketShock”等在业内引起广泛关注的安全问题之后,该机构发布的又一份网络安全问题报告。记者了解到,该实验室已将“BadPower”问题上报国家主管机构国家信息安全漏洞共享平台(CNVD),同时也与相关厂商一起推动行业采取积极措施。
某受电设备遭BadPower攻击时烧毁情况 焦点一:漏洞攻击如何实施 报告指出,攻击者可利用特制设备或被入侵的手机、笔记本等数字终端,来入侵快充设备固件,控制充电行为,使其向受电设备提供过高的功率,从而导致受电设备的元器件击穿、烧毁,还可能进一步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触,有相当一部分攻击可以通过远程方式完成。 记者了解到,该实验室发现的18款存在BadPower问题的设备里,有11款设备可以通过数码终端进行无物理接触的攻击。这18款存在BadPower问题设备涉及8个品牌、9个不同型号的快充芯片。 焦点二:不同快充协议下产品安全性有何差别 “不同快充协议本身没有安全性高低差别,风险主要取决于是否允许通过USB口改写固件,以及是否对改写固件操作进行安全校验等。”实验室相关负责人表示,他们针对市面快充芯片进行调研,发现至少近六成具备成品后通过USB口更新固件的功能;使用这些芯片制造产品时需要在设计和实现上充分考虑安全,否则就可能导致BadPower问题。 该负责人还提到,大部分BadPower问题可通过更新设备固件进行修复。未来,厂商在设计和制造快充产品时可通过提升固件更新的安全校验机制、对设备固件代码进行严格安全检查、防止常见软件漏洞等措施来防止BadPower发生;也建议相关部门将安全校验技术要求纳入快速充电技术国家标准。
1/2 1 |
