7月16日消息 7 月 15 日，騰訊安全玄武實驗室發(fā)布了一項命名為 “BadPower”的重大安全問題研究報告。報告指出，市面上現(xiàn)行大量快充終端設備存在安全問題，攻擊者可通過改寫快充設備的固件控制充電行為，造成被充電設備元器件燒毀，甚至更嚴重的后果。

　　▲某受電設備遭 BadPower 攻擊時芯片燒毀的情況

　　報告顯示，騰訊玄武安全實驗室對市面上 35 款支持快充技術(shù)的充電器、充電寶等產(chǎn)品進行測試，發(fā)現(xiàn)其中 18 款存在安全問題。攻擊者可利用特制設備或被入侵的手機、筆記本等數(shù)字終端來入侵快充設備的固件，控制充電行為，使其向受電設備提供過高的功率，從而導致受電設備的元器件擊穿、燒毀，還可能進一步給受電設備所在物理環(huán)境造成安全風險。攻擊方式包括物理接觸和非物理接觸，有相當一部分攻擊可以通過遠程方式完成。在玄武實驗室發(fā)現(xiàn)的 18 款存在 BadPower 問題的設備里，有 11 款設備可以通過數(shù)碼終端進行無物理接觸的攻擊。

　　玄武實驗室表示，不同的快充協(xié)議本身沒有安全性高低的差別，風險主要取決于是否允許通過 USB 口改寫固件，以及是否對改寫固件操作進行了安全校驗等。玄武實驗室表示，市面上快充芯片至少近六成具備成品后通過 USB 口更新固件的功能。

　　騰訊安全玄武實驗室已將 “BadPower”問題上報給國家主管機構(gòu) CNVD。小米和 Anker 將在未來上市的快充產(chǎn)品中加入玄武安全檢測環(huán)節(jié)。

　　玄武實驗室表示，大部分 BadPower 問題可通過更新設備固件進行修復。未來，廠商在設計和制造快充產(chǎn)品時可通過提升固件更新的安全校驗機制、對設備固件代碼進行嚴格安全檢查、防止常見軟件漏洞等措施來防止 BadPower 發(fā)生。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。