BadPower攻击破坏快速充电器熔化或点燃设备

中国安全研究人员说，他们可以改变快速充电器的固件，从而损坏联网的(充电)系统，如熔化部件，甚至点燃设备。

上周，中国科技巨头腾讯的研究部门玄武实验室发布了一份报告，详细介绍了这项名为BadPower的技术。

据研究人员称，BadPower的工作原理是破坏快速充电器的固件，快速充电器是过去几年开发的一种新型充电器，目的是加快充电速度。

快速充电器看起来像任何典型的充电器，但使用特殊的固件工作。该固件与连接的设备对话，并根据设备的能力协商充电速度。

如果不支持快速充电功能，快速充电器可以提供标准的5V电压，但如果设备可以处理更大的输入，快速充电器可以提供高达12V、20V甚至更高的电压，以实现更快的充电速度。

BadPower技术的工作原理是改变默认的充电参数，以提供超过接收设备所能处理的电压，这会在接收器的组件加热、弯曲、熔化甚至燃烧时退化并损坏它们。

BadPower攻击是静默的，因为攻击者不需要经过任何提示或交互，但也很快，因为威胁参与者只需要将他们的攻击装备连接到快速充电器，等待几秒钟，然后在修改固件后离开。

此外，在一些快速充电器型号上，攻击者不需要特殊设备，研究人员表示，攻击代码也可以加载到普通的智能手机和笔记本电脑上。

当用户将受感染的智能手机或笔记本电脑连接到快速充电器时，恶意代码会修改充电器的固件，然后快速充电器将对任何后续连接的设备执行电源过载。

BadPower攻击造成的损害通常会根据快速充电器的型号和充电能力的不同而有所不同，但也会根据充电设备及其保护措施的不同而有所不同。

腾讯团队表示，他们在实践中验证了他们的BadPower攻击。研究人员说，他们从市场上可用的234个型号中选择了35个快速充电器，发现来自8个供应商的18个型号容易受到攻击。

好消息是，大多数BadPower问题都可以通过更新设备固件来解决。

坏消息是，研究小组还分析了34个快速充电芯片，围绕这些芯片建立了快速充电器模型。研究人员表示，18家芯片供应商出厂的芯片没有固件更新选项，这意味着没有办法更新一些快速充电器芯片上的固件。

腾讯研究人员表示，他们不仅通知了所有受影响的供应商，还通知了中国国家漏洞数据库(CNVD)，试图加快相关安全标准的开发和推广，以防止BadPower攻击。

解决BadPower问题的建议包括加强固件以防止未经授权的修改，但也要对充电的设备部署过载保护。

腾讯报告下方提供了BadPower攻击的演示视频。无法在此嵌入视频。