7月15日,腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告。报告指出,市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备的固件控制充电行为,造成被充电设备元器件烧毁,甚至更严重的后果。保守估计,受“BadPower”影响的终端设备数量可能数以亿计。
这是继“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”等在业内引起广泛关注的安全问题之后,腾讯安全玄武实验室发布的又一影响深远的安全问题报告。
报告显示,腾讯玄武安全实验室对市面上35款支持快充技术的充电器、充电宝等产品进行了测试,发现其中18款存在安全问题。攻击者可利用特制设备或被入侵的手机、笔记本等数字终端来入侵快充设备的固件,控制充电行为,使其向受电设备提供过高的功率,从而导致受电设备的元器件击穿、烧毁,还可能进一步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触,有相当一部分攻击可以通过远程方式完成。在玄武实验室发现的18款存在BadPower问题的设备里,有11款设备可以通过数码终端进行无物理接触的攻击。
(某受电设备遭BadPower攻击时芯片烧毁的情况)
这18款存在BadPower问题的设备涉及8个品牌、9个不同型号的快充芯片。玄武实验室表示,不同的快充协议本身没有安全性高低的差别,风险主要取决于是否允许通过USB口改写固件,以及是否对改写固件操作进行了安全校验等。玄武实验室也针对市面上的快充芯片进行了调研,发现至少近六成具备成品后通过USB口更新固件的功能。使用这些芯片制造产品时需要在设计和实现上充分考虑安全,否则就可能导致BadPower问题。
腾讯安全玄武实验室已于今年3月27日将“BadPower”问题上报给国家主管机构CNVD,同时也在积极地和相关厂商一起推动行业采取积极措施消除BadPower问题。小米和Anker是玄武实验室的紧密合作伙伴,对这次研究工作做出了贡献,在未来上市的快充产品中也会加入玄武安全检测环节。
玄武实验室表示,大部分BadPower问题可通过更新设备固件进行修复。未来,厂商在设计和制造快充产品时可通过提升固件更新的安全校验机制、对设备固件代码进行严格安全检查、防止常见软件漏洞等措施来防止BadPower发生。同时,玄武实验室也建议相关部门将安全校验的技术要求纳入快速充电技术国家标准。
“BadPower不是传统安全问题,不会导致数据隐私泄露,但会给用户造成实实在在的财产损失,甚至更糟糕的情况。BadPower再次提醒我们,随着信息技术的发展,数字世界和物理世界之间的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的安全可能会影响物理世界,但这些似乎距离大多数人比较遥远,而BadPower让我们意识到即使这种家家都有的不起眼的小东西也可能打破数字世界和物理世界之间的结界。“ 腾讯安全玄武实验室负责人于旸说到,“要实现万物互联,就需要考虑万物安全。BadPower是设计过程引入的问题,我们这些年一直在呼吁安全前置,要从生产阶段前置到设计阶段,玄武实验室一直在积极研究设计过程中引入的安全问题。这类问题数量不多,但一旦发生就会影响整个行业。”
随着数字化纵深发展,产业全面上云,未来的数字生产生活面临的安全问题将会指数级增加。腾讯安全联合实验室也在进行终端安全、工业互联网、IoT、5G安全、车联网安全等各个细分领域的前瞻性安全研究,为数字经济和数字生活保驾护航。