Атака BadPower развращает быстро зарядные устройства для расплава или настроить устройство на огонь

badpower.jpg


Изображение: Компания Tencent

особенность

IoT: The Security Challenge

Ив: Проблемы Безопасности

Интернет вещей создает серьезные риски безопасности. Мы исследуем возможности и опасности.

Подробнее

Исследователи безопасности КНР заявили, что они могут изменить прошивку быстрых зарядных устройств, чтобы привести к повреждению подключенных систем (зарядка), такие как компонентов расплава, или даже установить устройств на огонь.

Метод, названный BadPower, был на прошлой неделе в докладе, опубликованном лаборатории Сюаньу, научно-исследовательское подразделение китайского гиганта Tencent в.

По мнению исследователей, BadPower работ развращает прошивки быстрых зарядных устройств-новый тип зарядного устройства, который был разработан в последние несколько лет, чтобы ускорить время зарядки.

Быстрое зарядное устройство выглядит как любой типичный зарядное устройство, но работает с помощью специальной прошивки. Это говорит прошивки для подключенного устройства и определяет скорость зарядки, в зависимости от возможностей устройства.

Если для быстрой зарядки функция не поддерживается, быстрое зарядное устройство обеспечивает стандартную 5В, а если прибор может обрабатывать больший вклад, быстрое зарядное устройство может обеспечить до 12В, 20В, или даже более, для ускорения зарядки скорость.

Техника BadPower работает путем изменять по умолчанию параметры заряда, чтобы доставить больше напряжения, чем принимающего устройства, который деградирует и повреждения компонентов приемника, как они нагреваются, согнуть, расплавить или даже сжечь.

Атака BadPower молчит и быстро

В BadPower нападение молчит, так как нет никаких подсказок или взаимодействия злоумышленник должен пройти, но также быстро, как опасный актер должен только соединить их атаки снаряжения для быстрой зарядки, подождать несколько секунд, и уходят, получив модифицированную прошивку.

Кроме того, на некоторых моделях быстрое зарядное устройство, злоумышленник не требует специального оборудования, и исследователи говорят, что код атаки также могут быть загружены на регулярные смартфонов и ноутбуков.

Когда пользователь подключает свой зараженный смартфон или ноутбук, быстрое зарядное устройство, вредоносный код изменяет встроенного зарядного устройства, и в дальнейшем быстрое зарядное устройство будет выполнять перегрузку питания для любого впоследствии подключенных устройств.

Ущерб от атаки BadPower обычно варьируется в зависимости от модели быстрого зарядного устройства и его возможности зарядки, но и на заряжается устройства и его защиты.

Исследователи проверили 35 быстрое зарядное устройство, нашли 18 уязвимы

Команда Tencent сказал, что они проверяют свои атаки BadPower на практике. Исследователи сказали, что они отобрали 35 быстрые зарядные устройства из 234 моделей, доступных на рынке, и обнаружили, что 18 моделей от 8 поставщиков были уязвимы.

Хорошая новость заключается в том, что «большинство проблем BadPower могут быть исправлены путем обновления прошивки устройства».

Плохая новость заключается в том, что исследовательская группа также проанализировала 34 быстрой зарядки фишки, вокруг которых моделей быстрое зарядное устройство было построено. Исследователи говорят, что 18 поставщикам чип не поставили чипы с возможностью обновления прошивки, смысла не было никакого способа, чтобы обновить прошивку на некоторых быстрые чипы зарядному устройству.

Исследователи Tencent сказал, они уведомили всех пострадавших продавцов об их результатах, но и в Национальной базе данных уязвимостей китайский (CNVD), в попытке ускорить разработку и продвижение соответствующих норм безопасности для защиты от атак BadPower.

Рекомендации по устранению ошибки BadPower включают закаливание прошивка для предотвращения несанкционированных изменений, а также развертывание защиты от перегрузки устройств взимается.

Демо-видео атаки BadPower доступна в нижней части отчета компания Tencent. Видео не может быть встроен здесь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *