隨著快充 技術愈來愈普及,許多人幫手機充電都已經習慣使用快充電源。然而日前中國騰訊安全 XuanWu Lab 玄武實驗室卻發現市面上的快充產品存在著安全漏洞「BadPower」,駭客可利用漏洞入侵快充充電器,提升輸出電壓,當電壓輸出過大就可能會導致充電中的手機等裝置自燃起火。
快速充電(簡稱快充)需要電源供電端和手機、平板電腦等充電端透過快速充電協議,辨別出適合輸出的電壓。快充過程不僅能幫手機、平板等裝置充電之外,還能傳輸資料。
快充過程中,無論裝置端或充電器都會透過傳輸晶片的韌體控制。不過,部分快充產品的韌體沒有針對資料讀寫進行安全驗證,讓駭客們有機可趁。
這時駭客只要將特製的充電產品或藏有惡意程式的手機、筆電與 USB 快充充電器連接,就能利用「BadPower」漏洞攻擊竄改快速充電韌體,將輸出電壓升高,而下一個使用 USB 快充的使用者的裝置就就會因為電壓功率過載,導致晶片被燒毀、造成物理損壞。
為了驗證「BadPower」漏洞,玄武實驗室的研究人員蒐集 35 款快充裝置進行測試,發現其中有 8 個品牌、18 種產品都藏著 BadPower 漏洞,而且這 18 種有問題的產品之中,有 11 種產品都支援網路遠端攻擊。
同時研究人員也呼籲使用者不要輕易把自己的充電器、行動電源等借給別人使用。同時建議不要用 Type-C 轉接其它 USB 連接埠幫不支援的裝置充電,以免發生電力過載,這樣才能保護自己的手機安全。
圖片及資料來源:騰訊安全玄武實驗室
《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。》
