腾讯安全玄武实验室披露“BadPower”安全问题 影响快充设备过亿
7月15日,腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告。报告指出,市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备的固件控制充电行为,造成被充电设备元器件烧毁,甚至更严重的后果。保守估计,受“BadPower”影响的终端设备数量可能数以亿计。
这是继“BadBarcode”、“BadTunnel”、“应用克隆”、“残迹重用”、“BucketShock”等在业内引起广泛关注的安全问题之后,腾讯安全玄武实验室发布的又一影响深远的安全问题报告。
报告显示,腾讯玄武安全实验室对市面上35款支持快充技术的充电器、充电宝等产品进行了测试,发现其中18款存在安全问题。攻击者可利用特制设备或被入侵的手机、笔记本等数字终端来入侵快充设备的固件,控制充电行为,使其向受电设备提供过高的功率,从而导致受电设备的元器件击穿、烧毁,还可能进一步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触,有相当一部分攻击可以通过远程方式完成。在玄武实验室发现的18款存在BadPower问题的设备里,有11款设备可以通过数码终端进行无物理接触的攻击。
(某受电设备遭BadPower攻击时芯片烧毁的情况)
这18款存在BadPower问题的设备涉及8个品牌、9个不同型号的快充芯片。玄武实验室表示,不同的快充协议本身没有安全性高低的差别,风险主要取决于是否允许通过USB口改写固件,以及是否对改写固件操作进行了安全校验等。玄武实验室也针对市面上的快充芯片进行了调研,发现至少近六成具备成品后通过USB口更新固件的功能。使用这些芯片制造产品时需要在设计和实现上充分考虑安全,否则就可能导致BadPower问题。
腾讯安全玄武实验室已于今年3月27日将“BadPower”问题上报给国家主管机构CNVD,同时也在积极地和相关厂商一起推动行业采取积极措施消除BadPower问题。小米和Anker是玄武实验室的紧密合作伙伴,对这次研究工作做出了贡献,在未来上市的快充产品中也会加入玄武安全检测环节。
玄武实验室表示,大部分BadPower问题可通过更新设备固件进行修复。未来,厂商在设计和制造快充产品时可通过提升固件更新的安全校验机制、对设备固件代码进行严格安全检查、防止常见软件漏洞等措施来防止BadPower发生。同时,玄武实验室也建议相关部门将安全校验的技术要求纳入快速充电技术国家标准。
“BadPower不是传统安全问题,不会导致数据隐私泄露,但会给用户造成实实在在的财产损失,甚至更糟糕的情况。BadPower再次提醒我们,随着信息技术的发展,数字世界和物理世界之间的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的安全可能会影响物理世界,但这些似乎距离大多数人比较遥远,而BadPower让我们意识到即使这种家家都有的不起眼的小东西也可能打破数字世界和物理世界之间的结界。“ 腾讯安全玄武实验室负责人于旸说到,“要实现万物互联,就需要考虑万物安全。BadPower是设计过程引入的问题,我们这些年一直在呼吁安全前置,要从生产阶段前置到设计阶段,玄武实验室一直在积极研究设计过程中引入的安全问题。这类问题数量不多,但一旦发生就会影响整个行业。”
随着数字化纵深发展,产业全面上云,未来的数字生产生活面临的安全问题将会指数级增加。腾讯安全联合实验室也在进行终端安全、工业互联网、IoT、5G安全、车联网安全等各个细分领域的前瞻性安全研究,为数字经济和数字生活保驾护航。
腾讯安全玄武实验室披露“BadPower”安全问题 影响快充设备过亿相关推荐
- 腾讯安全玄武实验室推出快充安全测试服务
9月16日,在腾讯安全发起的快充安全行业交流会上,腾讯安全玄武实验室正式推出面向快充行业的安全测试服务.这是实验室首次公开向行业开放安全测试服务. (图为安克公司产品线总经理萧昂.腾讯安全玄武实验室负 ...
- 腾讯服务器漏洞修复,腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本...
原标题:腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本 6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相 ...
- 腾讯 android安全,腾讯安全玄武实验室:市面主流安卓应用存在用户数据“被克隆”风险...
IT之家1月9日消息 今天,腾讯安全玄武实验室与知道创宇404实验室在北京召开了联合发布会.在发布会现场,玄武实验室以支付宝为例演示了一项腾讯安全团队发现的广泛存在于安卓应用中的安全漏洞. 该演示的被 ...
- 关于腾讯玄武实验室公布的应用克隆漏洞的一些思考
2018-01-09 国家信息安全漏洞共享平台 公布了 <关于Android平台WebView控件存在跨域访问高危漏洞的安全公告> 另外,关于该漏洞的原理 这里 有个补充说明: 从上文中我 ...
- 腾讯安全科恩实验室发布最新研究成果,针对奔驰车载娱乐系统的安全研究
5月12日,腾讯安全科恩实验室发布<梅赛德斯-奔驰汽车信息安全研究综述报告>(以下简称<报告>),这是安全研究机构首次对现代车载娱乐系统进行全面的安全性分析,对指引车企完善网联 ...
- TK教主:和玄武实验室有关的几个故事 | 人物志
2016年6月.玄武实验室,成立刚好两年. 这个在腾讯内部都显得低调的部门,有一个光芒四溢的领头人.Tombkeeper,黑客圈喝号"TK教主". 怎么来形容他呢? 没错,学医出身 ...
- 腾讯天衍实验室联合微众银行研发医疗联邦学习 AI利器让脑卒中预测准确率达80%
近几年,医疗行业正在经历一场数字化转型,这场基于大数据和AI技术的变革几乎改变了整个行业的方方面面,将"信息就是力量"这句箴言体现的淋漓尽致,人们对人工智能寄以厚望,希望它能真正深 ...
- 最新成果被AAAI-20收录,腾讯安全科恩实验室加快AI产业化应用
2019-12-05 12:04:38 允中 发自 凹非寺 量子位 编辑 | 公众号 QbitAI 国际人工智能领域顶级学术学术会议AAAI-20(The Thirty-Fourth AAAI Con ...
- 腾讯安全科恩实验室荣获“AutoSec安全之星”年度杰出汽车信息安全实验室
由谈思实验室Taas Labs主办的第四届中国汽车网络安全周AutoSec2020于10月21-23日在上海圆满落幕. 会上来自腾讯安全科恩实验室的车联网安全技术专家张总结合科恩实验室近年来的车联网丰 ...
最新文章
- 去重查询_《前端算法系列》数组去重
- matlab显示服务器出现意外,Matlab 读取excel文件提示服务器出现意外情况或无法读取问题解决...
- error java on syntax token_解决Java“syntax error on token enum”问题
- MFC中动态创建控件以及事件响应实现方法
- js 从一个函数中传递值到另一个函数
- C/C++打造经典推箱子小游戏
- apache mesos_试用Apache Mesos HTTP API获得乐趣和收益
- zoj 1406 Jungle Roads
- java webservice ssl_[转贴]Java客户端调用Https Webservice
- 【Linux】Linux用户和权限管理
- 数据库水平切分的实现原理解析---分库,分表,主从,集群,负载均衡器...
- LeetCode_Maximum Subarray | Maximum Product Subarray
- springboot启动自动停止
- 复利,世界第八大奇迹
- java输出精度到0.1_【java】浮点数精度问题,为什么0.1===0.1 5+0.1 = 5.1?
- hortonworks_具有在IBM POWER8上运行的Hortonworks Data Platform(HDP)的SAS软件
- 云集品以共享经济为幌子因涉及传销被关闭,做社交电商防止误入
- 为什么sqlserver创建存储过程成功,却找不到这个存储过程呢
- 原生m1/m2 Sketch v90 for Mac最新中文版Sketch已更新,已解决闪退打不开问题
- JVisualVM工具查看Java堆的情况