駭客利用BadPower漏洞,鎖定快速充電器進行攻擊
- 發布單位:TWCERT/CC
- 更新日期:2020-07-27
- 點閱次數:2616
資安廠商發現專門鎖定快速充電器的攻擊手法,可能會造成設備起火事故。
國外的資安研究團隊發現,部分快速充電器產品存在安全問題BadPower。利用此資安漏洞,駭客能鎖定各種電子設備的快速充電器進行攻擊,可能會造成設備中的零組件燒燬,甚至引起火災事故。
一般來說,市售的快速充電器,和一般充電器看起來差別不大,主要差別在於控制充電速度與電量的韌體程式;設備韌體會和被充電裝置進行溝通,以決定要以多大的電壓或電流進行充電。
利用BadPower漏洞的攻擊手法,會提供超過充電裝置額定電壓電流的供電,導致被充電設備的損壞、高溫,甚至發生火災事故。
該資安團隊在報告中指出,某些廠商之產品在資料通道中設有可讀寫充電器韌體程式碼的進入點,要存取這些進入點時,卻沒有足夠安全的認證程序,或是其快充通訊協定內存有可破壞韌體程式碼的漏洞,駭客便是利用這些漏洞進行攻擊。
該資安團隊針對市售35款快充設備進行測試,發現8個品牌的產品,共18款設備存有BadPower漏洞問題;針對快速充電器控制晶片廠商調查,發現在34家晶片廠中,有18家的快充晶片產品可透過各種方式更新韌體;廠商如果沒有做好相關資安防護,其充電器就可能存有BadPower漏洞,並遭到駭客攻擊。
- 建議採取資安強化措施
- 根據廠商發布之安全性更新,將充電設備的韌體更新至最新版本。
- 建議用戶不要使用Type-C轉接其他USB傳輸線為不支援快速充電的設備充電,也不建議將快速充電器借給他人使用,以免發生電力過載造成設備損壞。
- 建議廠商針對充電器韌體之程式碼進行安全性檢查,並將透過USB更新韌體的方式進行嚴格的驗證,防止駭客利用資安漏洞進行攻擊。