安基网 首页 资讯 安全报 查看内容

快充漏洞可变武器?黑客可使手机温度升高至烧机

2020-7-26 12:06| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 日前腾讯安全玄武实验室(XuanWu Lab)发表报告指出,在部分快速充电产品中发现了一种新型安全问题,并将其命名为「BadPower」。利用 BadPower,攻击者可以入侵支持快速充电技术的充电器等设备,透过改写快速充电设备的韧体加大导入手机、平板计算机等装置的电压,可造成温度升高甚至熔毁组件。目前的 ...

日前腾讯安全玄武实验室(XuanWu Lab)发表报告指出,在部分快速充电产品中发现了一种新型安全问题,并将其命名为「BadPower」。

利用 BadPower,攻击者可以入侵支持快速充电技术的充电器等设备,透过改写快速充电设备的韧体加大导入手机、平板计算机等装置的电压,可造成温度升高甚至熔毁组件。目前的快速充电技术已至少可提供最高 20V 电压和 100W 功率。支持快速充电技术的设备,几十分钟就能完成充电,甚至还可以对笔记本计算机、台式机显示器等较大功率的用电设备供电。

快速充电的原理是终端设备(如手机、平板计算机)和充电器间透过交握协议,让两者互相识别并协商出适合的电压向设备送出,协议过程不仅传输电力,也会传输数据,整个过程由装置及充电器芯片中的韧体控制;一些产品的韧体并未对数据读写进行充分的安全验证,而让攻击者得以对充电器传输恶意指令,进而控制其供电行为。

BadPower 可以透过专门硬件、手机或计算机来造成攻击,攻击者入侵用户的手机、平板计算机等终端设备,在其中植入具有 BadPower 攻击能力的恶意程序,使这些设备成为 BadPower 的攻击代理;当用户将终端设备连接充电器时,内含的恶意程序会入侵充电器内部韧体;当用户再次使用被入侵的充电器给设备充电时,充电器会对被受电设备进行功率过载攻击。

研究员测试了市面 35 款快充装置,至少有 8 个品牌、18 种产品存在 BadPower 问题,它们都可以用专门硬件来骇入。研究员同时测试了 34 间快速充电芯片厂商,有至少 18 家的芯片韧体可以更新,若果韧体验证不足,便会发生 BadPower 漏洞。

今年 3 月腾讯已将问题提交中国国家漏洞数据库(CNVD),也和相关厂商处理 BadPower 问题。研究员建议各位不要轻易把自己的快速充电器借给别人使用,同时建议不要用 Type-C 转接其他 USB 传输埠,为不支持的装置充电,以免发生电力过载。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://baijiahao.baidu.com/s?id=1673234257053682222

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部