江苏龙网

  1. 首页 > 资讯 > 资讯 > >

充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序

_原题为 小心 , 你的充电宝可能被黑了!改变充电功率烧毁元件 , 还能直接入侵手机程序
充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序
文章图片

大数据文摘出品
作者:刘俊寰
社畜了一天 , 好不容易和朋友出去吃顿饭 , 发现手机没电了 , 你借来朋友的移动电源 , 20分钟就充了25% 。
回到家后 , 想起约了朋友开黑 , 插上笔记本的电源就开始快充 , 准备slay全场 , 虽然手机渐渐烫手 , 但几盘游戏下来 , 手机的电量已经充满……
如果说“低电量焦虑”正成为新一代年轻人的普遍”城市病“ , 那么快充技术就是解决这一病症的特效药 。
但你可能不知道 , 你离不开的快充技术 , 被爆出存在安全隐患 , 有可能直接烧毁智能终端设备 。
这一研究成果 , 来自于腾讯玄武安全实验室 。 通过玄武实验室对一系列市售的快充产品研究 , 发现通过利用特殊设备或被入侵的数字终端改写快充设备的固件 , 从而控制充电行为 , 在你的设备利用快充充电时 , 向设备提供过高的功率 , 从而导致设备的元器件击穿、烧毁 , 进一步给周围带来安全隐患 。
充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序
文章图片

玄武实验室测试视频中被攻击着火的电子元件
玄武实验室对当前市面上的35款充电宝、车载充电器等支持快充技术的产品进行了测试 , 发现其中一半以上产品都存在这种安全问题 。 这18款存在问题的设备涉及8个品牌、9个不同型号的快充芯片 , 其中可通过支持快充的数码终端进行攻击的有11款 。
并且 , 这样的安全问题也不只发生在手机上 , 平板电脑和笔记本电脑也可能发生类似的攻击事件 。
截至发稿 , 玄武实验室并没有透露这些问题快充设备的名称和厂家 , 同时也表示 , 目前还没有发现实际攻击案例的情况 。 但腾讯表示 , 技术人员已经在3月把相关问题上报给了国家主管机构CNVD , 希望能在国家监督之下 , 和相关厂商一起推动行业尽早解决相关问题 。
说好的5V都是骗人的!烧毁芯片还不够 , BadPower或将导致继发后果
近年来 , 随着智能手机的普及 , “低电量焦虑”在年轻人中也变得越来越严重 。
“充电x分钟 , 续航2小时 。 “快充技术就是在这个背景下发展起来的 。
什么叫快充?我们可以用高中物理知识简单粗暴地理解一下 , 根据功率计算公式 , 功率=电压X电流 , 也就是说 , 只要想办法提高电压或电流 , 让功率大于原本的额定功率 , 功率变得越高 , 充电速度也就越快 。
目前 , 快充技术可提供最高20V电压和125W功率 , 不要说手机满电只要几十分钟 , 就是笔记本电脑这样较大功率的设备 , 也可以无压力充电 。
充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序
文章图片

虽然目前快充领域暂未浮现实际攻击案例 , 但背后的安全威胁已经有所显现 。
目前不少快充协议包含了电力传输功能和数据传输 , 但是厂商在数据通道里设计可读写内置固件的接口时 , 却并未对读写行为进行有效的安全校验 , 或校验过程存在问题 , 或快充协议实现存在某些内存破坏类问题 , 攻击者往往就抓住了这些漏洞 , 通过改写快充设备固件 , 控制充电行为 。
正常情况下 , 对于不支持快充的电子设备 , 快充适配器会默认使用5V电压 , 但是设备控制供电行为的代码被修改后 , 快充会将电压直接提升到20V , 从而导致充电设备功率过载 。
在玄武实验室的测试中 , 可以看到设备内部的芯片被烧毁了 。
充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序
文章图片

充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序
文章图片

大部分情况下 , 功率过载会导致设备内相关芯片击穿、烧毁 , 从而造成不可逆的物理损坏 。 由于功率过载对芯片的破坏情况无法控制和预测 , 芯片被破坏后还可能导致其它继发后果 , 比如他们发现 , 被击穿的芯片连接内置锂电池正负极的两个引脚间电阻由无穷大变成了几十欧姆 。
这个问题也被玄武实验室形象地成为“BadPower” 。
所有存在BadPower问题的产品都可通过特制硬件进行攻击 , 其中相当一部分也可通过支持快充协议的手机、平板电脑、笔记本电脑等普通终端进行攻击 。
这也就是攻击的两种分类 。
在第一种情况下 , 攻击者首先会把利用一个类似于手机的设备接入充电器的充电口 , 入侵内部固件 , 当普通用户利用被攻击的充电器充电时 , 就自动触发BadPower攻击 。
【充电|小心,你的充电宝可能被黑了!改变充电功率烧毁元件,还能直接入侵手机程序】如果是后者的情况 , 攻击者首先会某种方式入侵用户的手机、笔记本电脑等终端设备 , 植入具有BadPower攻击能力的恶意程序 , 当被植入恶意程序的设备连接充电器充电时 , 程序就能攻击充电器内部固件 。 当用户再次利用该充电器充电时 , 充电设备就遭受了BadPower攻击 。


推荐阅读


上一篇:火车站|大山里建起“火车站”——新南村的脱贫新鲜事

下一篇:客运量|二季度我国货运量持续正增长 客运逐步恢复