<address id="fllnt"></address>

          <noframes id="fllnt">
          <address id="fllnt"></address><address id="fllnt"><nobr id="fllnt"><meter id="fllnt"></meter></nobr></address>
          首頁IT—正文
          快充設備存在安全隱患 被攻擊后可能燒毀手機
          2020年07月29日 10:31 來源:科技日報

            快充設備存安全隱患 被攻擊后可能燒毀手機

            “充電5分鐘通話兩小時”……隨著智能充電設備的普及,各大廠商都在不斷革新自家產品的快充技術。一直以來,圍繞快充的安全性存在著不少疑慮,其中包括對智能設備和電池的影響,以及充電技術本身是否存在安全隱患。

            近期,騰訊安全玄武實驗室發布了一項研究報告,其中主要提到了一種被命名為“BadPower”的安全問題。報告指出,研究人員通過對市面上35款采用了快充技術的充電器、充電寶等產品進行了測試,發現其中18款存在安全問題。攻擊者(黑客)可通過改寫快充設備固件中的程序代碼來控制充電行為,可造成被充電設備元器件燒毀甚至爆炸等嚴重后果。

            那么,什么樣的快充設備易受到“BadPower”威脅?物理世界與數字世界的邊界開始模糊,新型安全威脅不斷出現,需要怎樣來應對?就此,科技日報記者采訪了有關專家。

            攻擊包括物理接觸與非物理接觸兩種

            相比傳統充電器,快充設備更加智能,其芯片內部的固件上運行著一套程序代碼,相當于快充設備的“大腦”,可以控制并調整快充設備與受電設備之間的充電電壓,甚至可以與受電設備交換數據等。

            “但是,作為控制和調整充電過程的核心,快充設備上運行的程序代碼并沒有得到很好的保護!鼻迦A大學網絡科學與網絡空間研究院副教授張超介紹說,很多快充設備沒有設置安全校驗,通過受電設備就能毫無阻礙地接觸到其程序代碼,并能夠實現對程序代碼的替換;另外,還有部分快充設備的程序代碼并不完善,其存在的安全漏洞很容易被攻擊者所利用,進而引導其去執行錯誤或者惡意的行為。

            在本次騰訊安全玄武實驗室發布的“BadPower”問題報告中,攻擊者是如何實現改寫固件中的程序代碼的?

            科技日報記者了解到,“BadPower”的攻擊方式包括物理接觸和非物理接觸。報告指出,攻擊者發動物理接觸攻擊,主要是通過直接更換充電寶、快充轉接器等設備固件,或利用手機、筆記本電腦等連接快充設備的數字終端改寫快充設備固件中的代碼,從而實現對充電過程中的電壓電流等加以控制。

            “具體來說,攻擊者通過入侵充電設備改變充電功率,致使受電設備的元器件被擊穿、燒毀,還可能給受電設備所在物理環境帶來安全隱患!备V荽髮W數學與計算機科學學院院長助理、網絡系統信息安全福建省高校重點實驗室主任劉西蒙教授介紹說。

            據了解,騰訊安全玄武實驗室發現的18款存在“BadPower”問題的設備里,有11款設備可以進行無物理接觸的攻擊。

            “當攻擊者無法直接物理接觸快充設備時,可以通過網絡遠程把攻擊代碼植入受電設備,當受電設備與快充設備連接時,攻擊代碼就可以直接替換掉快充設備固件上的程序代碼!睆埑f。

            當攻擊者替換了快充設備固件的程序代碼后,一旦有新的受電設備連接到該快充設備,就會面臨電壓攻擊的威脅。

            USB接口可能成為風險入口

            據了解,這18款存在“BadPower”問題的設備,涉及8個品牌、9個不同型號的快充芯片。

            “只要充電器同時滿足不允許修改固件中的代碼、對固件進行安全校驗兩個條件,就不會出現類似安全風險!眲⑽髅芍赋,不同快充協議本身沒有安全性高低的差別,風險主要取決于是否允許通過USB口改寫固件中的代碼,以及是否對改寫操作進行了安全校驗等。

            騰訊安全玄武實驗室針對市面上的快充芯片進行了調研,發現近六成可通過USB口更新代碼,安全風險不容忽視。那么,“BadPower”是否對用戶隱私安全問題構成威脅?

            “市場上的正?斐湓O備的體積和硬件能力受限,無法執行復雜的惡意行為,因此,當前披露的‘BadPower’攻擊并不會造成用戶隱私泄露問題!睆埑f。

            但是,如果廠商為快充設備提供了較強的計算能力,或者攻擊者將偽造的快充設備送到用戶手中。那么,攻擊者就有機會利用快充設備發起更復雜的攻擊,可能會給用戶帶來嚴重的安全風險,如隱私數據泄露、智能設備被控制等。

            近年來,類似“BadPower”的攻擊事件也層出不窮。騰訊安全玄武實驗室此前還曾披露過一種“BadBarcode”攻擊,即通過惡意的條形碼可攻擊掃描儀,進而控制連接掃描儀的設備(如收銀電腦);還有的是通過對U盤的固件進行逆向重新編程,執行惡意操作;另外還曾出現利用二維碼入侵智能設備進行攻擊、利用充電樁攻擊電動車等安全事件。

            安全隱患問題需要制造商來根治

            針對“BadPower”帶來的問題,應該如何有效規避和解決?

            “建議用戶應該提高安全意識,比如不要給數碼產品外接來路不明的設備,包括免費的充電器、U盤等。同時不要輕易把自己的充電器、充電寶等借給別人用!睆埑f。

            劉西蒙表示,消費者的財產安全權既包括使用商品和接受服務時的人身安全,也包括商品和服務對于消費者其他財產不存在安全威脅。所以,如果用戶使用了質量不過關的快充設備導致出現安全問題,可以通過法律程序來保護自身權益。

            但是,“BadPower”問題最終還需要制造商來根治。

            在技術層面上,充電設備的固件普遍使用單片機來編寫程序與調試,不少廠家直接將充電USB接口和調試接口合二為一,這樣就會導致設備容易產生安全漏洞、遭受病毒入侵。因此,劉西蒙建議,在技術上應當做到充電USB接口和調試接口分離,并在USB接口和調試接口上同時加密以防止外部入侵。

            同時,廠商在設計和制造快充產品時,可通過提升固件更新的安全校驗機制、對設備固件代碼進行嚴格安全檢查、查補常見軟件安全漏洞等措施來防止遭受“BadPower”攻擊威脅。

            據了解,此前騰訊安全玄武實驗室已將“BadPower”問題上報給國家信息安全漏洞共享平臺,并和相關廠商溝通,共同推動全行業采取積極措施消滅“BadPower”問題。同時,有業內專家建議,將安全校驗的技術要求納入快速充電技術國家標準。

            “BadPower”攻擊也再次提醒我們,隨著人類生產、生活的數字化,數字世界和物理世界之間的界限正變得越來越模糊。

            “其中安全威脅問題的根源,一方面是行業還沒有意識到安全前置的重要性,沒有把安全做到設計環節;另一方面是對供應鏈引入的安全風險還沒有充分的認識,因此數字安全問題就會變成物理安全問題!眲⑽髅芍赋,必須加強對數據隱私等方面的安全保護意識。

            張超認為,由于技術和成本局限、人為因素等,安全威脅無法完全消除,攻防博弈會始終迭代演進。用戶自身提高安全意識是最經濟的應對手段,而大力發展網絡安全行業,打通產學研生態,依靠專業安全人才和產品提高廠商和用戶的防護能力,才是對抗層出不窮的安全威脅的最有效手段。

            本報記者 謝開飛 通 訊 員 許曉鳳 王憶希

          经典三级欧美在线播放

            <address id="fllnt"></address>

                  <noframes id="fllnt">
                  <address id="fllnt"></address><address id="fllnt"><nobr id="fllnt"><meter id="fllnt"></meter></nobr></address>