談天說地主旨 ﹝請按主旨作出回應﹞ 寄件者 傳送日期 由舊至新 由新至舊
[#1] 快充漏洞可變武器? 黑客可使手機溫度升高至燒機    
日前騰訊安全玄武實驗室(XuanWu Lab)發表報告指出,在部分快速充電產品中發現了一種新型安全問題,並將其命名為「BadPower」。

利用 BadPower,攻擊者可以入侵支援快速充電技術的充電器等設備,透過改寫快速充電設備的韌體加大導入手機、平板電腦等裝置的電壓,可造成溫度升高甚至熔毁元件。目前的快速充電技術已至少可提供最高 20V 電壓和 100W 功率。支持快速充電技術的設備,幾十分鐘就能完成充電,甚至還可以對筆記本電腦、台式機顯示器等較大功率的用電設備供電。

快速充電的原理是終端設備(如手機、平板電腦)和充電器間透過交握協議,讓兩者互相識別並協商出適合的電壓向設備送出,協議過程不僅傳輸電力,也會傳輸資料,整個過程由裝置及充電器晶片中的韌體控制;一些產品的韌體並未對資料讀寫進行充分的安全驗證,而讓攻擊者得以對充電器傳輸惡意指令,進而控制其供電行為。

BadPower 可以透過專門硬體、手機或電腦來造成攻擊,攻擊者入侵用戶的手機、平板電腦等終端設備,在其中植入具有 BadPower 攻擊能力的惡意程序,使這些設備成為 BadPower 的攻擊代理;當用戶將終端設備連接充電器時,內含的惡意程序會入侵充電器內部韌體;當用戶再次使用被入侵的充電器給設備充電時,充電器會對被受電設備進行功率過載攻擊。

研究員測試了市面 35 款快充裝置,至少有 8 個品牌、18 種產品存在 BadPower 問題,它們都可以用專門硬體來駭入。研究員同時測試了 34 間快速充電晶片廠商,有至少 18 家的晶片韌體可以更新,若果韌體驗證不足,便會發生 BadPower 漏洞。

今年 3 月騰訊已將問題提交中國國家漏洞資料庫(CNVD),也和相關廠商處理 BadPower 問題。研究員建議各位不要輕易把自己的快速充電器借給別人使用,同時建議不要用 Type-C 轉接其他 USB 傳輸埠,為不支援的裝置充電,以免發生電力過載。

資料來源:騰訊安全玄武實驗室
vestbar
個人訊息 會員
42.xxx.xxx.240
2020-07-25 23:03
按照傳送日期顯示:由舊至新由舊至新  由新至舊由新至舊
最新資訊 - 影音
Inakustik AC-1204 AIR MKII 電源線 2021-05-12

最新資訊 - 影音
音色細緻入微 Sennheiser 全新 IE 900 旗艦發燒級耳機 2021-05-12

最新資訊 - 影音
繼承高階型號技術,Accuphase 推出全新 CD 唱機 DP-450 2021-05-11

最新資訊 - 影音
一個全新的「傳奇」誕生了! Siltech Classic Legend 系列 2021-05-11