BadPower: hyökkäys pikalatausadaptereihin, joka voi aiheuttaa tulipalon

äskettäin tiedot julkaistiin tutkijoiden esittämä de Kiinalaisen yrityksen turvallisuus Tencent yli yksi uuden luokan hyökkäyksiä, joita he kutsuivat nimellä "BadPower" ja mikä on jonka tarkoituksena on hyökätä pikalatausprotokollaan erilaisissa elektronisissa laitteissa, kuten älypuhelimien laturit, kannettavat tietokoneet, muun muassa sitä tukevat.

Huono voima sallii hyökkäyksen, johon lataaja aiheuttaa laitteen aloittaa liiallinen voimansiirto että laitetta ei ole suunniteltu käsittelemään, mikä voi aiheuttaa toimintahäiriön, sulaa osia tai jopa tulta.

Tietoja BadPowerista

Hyökkäys tapahtuu uhrin älypuhelimesta, jonka hallinta hyökkääjä ottaae esimerkiksi hyödyntämällä haavoittuvuutta tai tuomalla haittaohjelmia (laite toimii samanaikaisesti hyökkäyksen lähteenä ja kohteena).

Menetelmää voidaan käyttää laitteen fyysiseen vaurioitumiseen jo vaarassa ja suorittaa sabotaasi, joka voi aiheuttaa tulipalon. Hyökkäys on sovellettavissa latureihin, jotka tukevat laiteohjelmistopäivityksiä ja he eivät käytä ladatun koodin digitaalisen allekirjoituksen vahvistusta.

Laturit, jotka eivät tue vilkkumista, eivät ole hyökkäyksen kohteena. Mahdollisten vaurioiden aste riippuu laturin mallista, lähtötehosta ja ladattujen laitteiden ylikuormitussuojamekanismien saatavuudesta.

Nopea latausprotokolla USB: n kautta tarkoittaa latausparametrien koordinoinnin prosessia ladatun laitteen kanssa. Ladattava laite lähettää tietoja tuetuista tiloista laturiin ja sallittu jännite (esimerkiksi 5 voltin sijasta raportoidaan mahdollisuus hyväksyä 9, 12 tai 20 volttia). Laturi voi seurata parametreja latauksen aikana, muuttaa latausnopeutta ja säätää jännitettä lämpötilasta riippuen.

Jos laturi tunnistaa tarkoituksella liioiteltuja parametreja tai muuttaa latauksen ohjauskoodia, jaLaturi voi lähettää latausparametreja, joita varten laitetta ei ole suunniteltu.

BadPower-hyökkäysmenetelmä sisältää laiteohjelmiston vioittumisen tai muokatun laiteohjelmiston lataamisen laturissa, joka asettaa suurimman mahdollisen jännitteen. Laturien teho kasvaa nopeasti, ja esimerkiksi Xiaomi aikoo tuoda ensi kuussa markkinoille laitteita, jotka tukevat 100 ja 125 watin pikalataustekniikoita.

35 sovittimesta nopea lataus ja ulkoiset akut (Power Bank) testattu tutkijat, Valittu 234 markkinoilla olevasta mallista hyökkäys kohdistettiin 18 laitteeseen valmistanut 8 valmistajaa.

Hyökkäys 11 18: sta ongelmalaitteesta oli mahdollista täysin automaattisessa tilassa. 7 laitteen laiteohjelmiston vaihtaminen vaati kuormaajan fyysistä käsittelyä. Tutkijat päättelivät, että turvallisuuden aste ei riipu käytetystä pikalatausprotokollasta, vaan liittyy vain mahdollisuuteen päivittää laiteohjelmisto USB: n kautta ja käyttää salausmekanismeja toimintojen tarkistamiseksi laiteohjelmistolla.

Joidenkin laturien päivitys tapahtuu tavallisen USB-portin kautta, ja sen avulla voit muokata hyökkäyksen kohteena olevan älypuhelimen tai kannettavan tietokoneen laiteohjelmistoa ilman erityislaitteita ja se on piilotettu laitteen omistajalta.

Tutkijoiden mukaan noin 60% markkinoilla tarjotuista siruista nopea lataussiru sallia laiteohjelmistopäivitysten järjestämisen USB-portin kautta lopputuotteissa.

Suurin osa hyökkäystekniikkaan liittyvistä ongelmista BadPower voidaan korjata laiteohjelmiston tasolla. Hyökkäyksen estämiseksi ongelmallisten laturien valmistajia kannustettiin vahvistamaan suojaa luvattomilta laiteohjelmistomuutoksilta ja kuluttajalaitteiden valmistajia kannustettiin lisäämään ylimääräisiä ylikuormituksen hallintamekanismeja.

Käyttäjiä ei suositella käyttämään Type-C-sovittimia laitteiden liittämiseen nopea lataus älypuhelimiin, jotka eivät tue tätä tilaa kuten nämä mallit ovat vähemmän suojattuja mahdollisia ylikuormituksia vastaan.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.