Chèchè sekirite nan konpayi Chinwa Tencent () yon nouvo klas atak BadPower ki vize pou defèt chajè pou smartphones ak laptops ki sipòte . Atak la pèmèt plato a transmèt twòp pouvwa ke ekipman an pa fèt pou okipe, sa ki ka mennen nan echèk, fonn nan pati, oswa menm dife nan aparèy la.
Se atak la te pote soti nan smartphone viktim nan, kontwòl ki sezi pa atakè a, pou egzanp, nan eksplwatasyon yon vilnerabilite oswa entwodiksyon de malveyan (aparèy la ansanm aji kòm sous la ak sib nan atak la). Metòd la ka itilize fizikman domaje yon aparèy ki deja konpwomèt epi pote soti nan sabotaj ki ka lakòz yon dife. Atak la aplikab pou chajè ki sipòte mizajou firmwèr epi ki pa sèvi ak telechaje verifikasyon kòd lè l sèvi avèk yon siyati dijital. Chajeur ki pa sipòte flache yo pa fasil pou atake. Limit la nan domaj posib depann sou modèl la nan plato a, pwodiksyon pouvwa a ak prezans nan mekanis pwoteksyon surcharge nan aparèy yo ke yo te chaje.
Pwotokòl la chaje rapid USB implique yon pwosesis matche paramèt chaje ak aparèy la chaje. Aparèy ki chaje a transmèt enfòmasyon bay plato a sou mòd sipòte yo ak vòltaj akseptab (pa egzanp, olye pou yo 5 vòlt, li rapòte ke li ka aksepte 9, 12 oswa 20 vòlt). Chargeur a ka kontwole paramèt pandan chaje, chanje pousantaj chaj la ak ajiste vòltaj la depann sou tanperati a.
Si plato a rekonèt evidamman paramèt twò wo oswa chanjman yo fèt nan kòd kontwòl chaj la, plato a ka pwodwi paramèt chaje pou aparèy la pa fèt. Metòd atak BadPower la enplike domaje firmwèr la oswa chaje firmwèr modifye sou plato a, ki fikse vòltaj maksimòm posib. Pouvwa a nan chajè ap grandi rapidman ak, pou egzanp, Xiaomi mwa pwochèn lage aparèy ki sipòte teknoloji chaj rapid 100W ak 125W.
Nan 35 adaptè yo chaje rapid ak pil ekstèn (Power Banks) chèchè yo teste, chwazi nan 234 modèl ki disponib sou mache a, atak la te aplikab a 18 aparèy ki fabrike pa 8 manifaktirè yo. Atak la sou 11 nan 18 aparèy pwoblèm yo te posib nan yon mòd konplètman otomatik. Chanje firmwèr la sou 7 aparèy mande pou manipilasyon fizik plato a. Chèchè yo te rive nan konklizyon an ke degre nan sekirite pa depann de pwotokòl la chaje vit itilize, men se asosye sèlman ak kapasite nan mete ajou firmwèr la atravè USB ak itilizasyon mekanis kriptografik pou verifye operasyon ak firmwèr la.
Gen kèk chajè ki klere atravè yon pò USB estanda epi yo pèmèt ou modifye firmwèr la soti nan smartphone la atake oswa laptop san yo pa itilize ekipman espesyal ak kache nan men mèt kay la nan aparèy la. Dapre chèchè yo, apeprè 60% chips chaje rapid sou mache a pèmèt mizajou firmwèr atravè yon pò USB nan pwodwi final yo.
Pifò nan pwoblèm ki asosye ak teknoloji atak BadPower ka fiks nan nivo firmwèr. Pou bloke atak la, manifaktirè chajè pwoblèm yo te mande ranfòse pwoteksyon kont modifikasyon san otorizasyon nan firmwèr, ak manifaktirè aparèy konsomatè yo ajoute mekanis kontwòl surcharge adisyonèl. Itilizatè yo pa rekòmande yo sèvi ak adaptè ak Kalite-C pou konekte aparèy chaje rapid ak smartphones ki pa sipòte mòd sa a, paske modèl sa yo gen mwens pwoteje kont surcharge posib.
Sous: opennet.ru