坏电力安全玄武实验室披露坏电力的主要安全问题的快速充电协议

日期:2020-07-17 20:01:45 来源:普利财经网

7月15日,腾讯安全玄武实验室发布了一项命名为badpower的重大安全问题研究报告。报告指出,市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备的固件控制充电行为,造成被充电设备元器件烧毁,甚至更严重的后果。保守估计,受badpower影响的终端设备数量可能数以亿计。

这是继badbarcode、badtunnel、应用克隆、残迹重用、bucketshock等在业内引起广泛关注的安全问题之后,腾讯安全玄武实验室发布的又一影响深远的安全问题报告。

报告显示,腾讯玄武安防实验室对市面上35款支持快速充电技术的充电器、充电宝等产品进行了测试,发现其中18款存在安全问题。攻击者可利用专用设备或黑客攻击的手机,笔记本等数字终端侵入快速充电设备的固件,控制充电行为,使其向充电设备提供过大的功率,导致接收设备部件击穿烧毁,可能进一步对接收设备所在的物理环境造成安全隐患。攻击方法包括物理和非物质接触,大量的攻击可以远程完成。在玄武实验室发现的18个有坏功率问题的设备中,11个能够通过数字终端在没有物理接触的情况下攻击。

(如果一个芯片燃烧时,一个电气设备是坏电源攻击)

在18个有坏功率问题的设备中,有8个品牌和9个不同型号的快速充电芯片。玄武实验室表示,不同的快速充电协议本身在安全性上没有区别,风险主要取决于固件是否允许通过usb端口覆盖,以及重写固件操作是否安全检查。玄武实验室还针对市场上的快速充电芯片进行研究,发现至少有60%的成品通过usb口更新固件功能。如果你使用这些芯片来制造一个产品,你需要在设计和实现中充分考虑安全性,否则会导致坏功率问题。

腾讯安全宣武实验室今年3月27日,向国家主管部门报告了badpower问题,同时也积极与相关厂家合作,推动行业采取积极措施,消除badpower问题。小米和anker是玄武实验室的亲密合作伙伴,为本次研究工作做出了贡献,也将在未来上市的快充产品中加入玄武安全检查环节。

玄武实验室说,大部分坏电源问题可以通过更新设备固件来解决。未来,厂商在设计制造快充产品时可以完善固件更新安全检查机制,设备固件代码严格安全检查,防止常见软件漏洞等措施,防止坏电。同时,玄武实验室也建议相关部门将安全验证技术要求纳入快速充电技术国家标准。

BadPower不是一个传统的安全问题,它不会导致数据隐私泄露,但它会对用户造成真实的财产损害,甚至更糟。badpower再次提醒我们,随着信息技术的发展,数字世界和物理世界的界限越来越模糊。在我们知道工业控制系统安全,车联网系统可能会影响物理世界之前,但这些似乎离大多数人都很遥远,而badpower让我们意识到,即便是这个人人都有的不起眼的小东西,也能打破数字世界和物理世界的界限腾讯安全黑龟实验室负责人Yu旸表示:为了让一切都互联,我们需要考虑到一切都是安全的。badpower是设计过程引入的问题,我们这些年一直在呼吁安全战线,从生产阶段到设计阶段,玄武实验室一直在积极研究设计过程引入的安全问题。

随着数字化纵深发展,产业全面上云,未来的数字生产生活面临的安全问题将会指数级增加。腾讯安全联合实验室也在进行终端安全、工业互联网、iot、5g安全、车联网安全等各个细分领域的前瞻性安全研究,为数字经济和数字生活保驾护航。

友情链接