Технологии быстрой зарядки мобильных устройств прогрессируют все стремительнее: недавно сразу несколько компаний анонсировали решения мощностью 100-125 Вт, которые способны полностью зарядить смартфон за пару десятков минут. Однако, как оказалось, в руках хакеров быстрая зарядка может стать настоящим физическим оружием.
Эксперты по кибербезопасности из Tencent Security Xuanwu Lab опубликовали отчет, согласно которому злоумышленники могут получить контроль над зарядным устройством значительной части гаджетов с быстрой зарядкой. По самым скромным оценкам, число устройств с такой уязвимостью достигает сотен млн., и все, что получает энергию по USB, теперь может стать жертвой атаки. Данное явление они назвали BadPower (“плохая энергия” в дословном переводе с английского). В Tencent считают, что BadPower может стать самой крупной по своему масштабу атакой из цифрового мира на физический.
Лаборатория Xuanwu Lab протестировала 35 адаптеров питания, внешних аккумуляторов и других устройств, которые присутствуют сейчас на рынке. У 18 из них обнаружились проблемы с безопасностью, воспользовавшись которыми, хакеры могут инициировать подачу избыточного напряжения на смартфон, планшет или ноутбук. В лучшем случае это приведет к выходу оборудования из строя, в худшем – к возгоранию и даже нанесению вреда здоровью находящихся рядом людей.
Метод взлома зарядного устройства может быть как физическим, то есть с непосредственным доступом к зарядному устройству при помощи специального прибора, так и удаленным – через подключенный к нему скомпрометированный гаджет. Последний способ используется злоумышленниками чаще, тем более что 11 из 18 уязвимых устройств позволяют обойтись без непосредственного контакта. Причем нет никакой разницы, о какой технологии быстрой зарядки идет речь. Важно то, разрешена ли в принципе перезапись микрокода в чипе адаптера питания через USB-порт или хотя бы надежно ли проверяется подлинность прошивки. К сожалению, результаты исследования Xuanwu Lab оказались неутешительными: около 60% применяемых в быстрых зарядных устройствах контроллеров позволяют свободно обновить микрокод через USB-порт.
Лаборатория Tencent Security Xuanwu Lab уже сообщила о результатах своего исследования соответствующим организациям-регуляторам в Китае, а также взаимодействует с производителями электроники для принятия мер по борьбе с BadPower. Специалисты отмечают, что в большинстве случаев для устранения уязвимости достаточно будет обновить прошивку зарядного устройства. Обычным же пользователям рекомендуется лишний раз не одалживать “зарядку” от своего смартфона, планшета или ноутбука. (3dnews/Машиностроение Украины и мира)