Peneliti keamanan saka perusahaan China Tencent () kelas anyar serangan BadPower ngarahke kanggo ngalahake pangisi daya kanggo smartphone lan laptop sing ndhukung . Serangan kasebut ngidini pangisi daya ngirim daya gedhe banget sing ora dirancang kanggo ditangani dening peralatan, sing bisa nyebabake kegagalan, leleh bagean, utawa malah geni piranti.
Serangan kasebut ditindakake saka smartphone korban, kontrol sing dicekel dening panyerang, contone, liwat eksploitasi kerentanan utawa introduksi malware (piranti kasebut bebarengan minangka sumber lan target serangan). Cara kasebut bisa digunakake kanggo ngrusak piranti sing wis dikompromi lan nindakake sabotase sing bisa nyebabake geni. Serangan kasebut ditrapake kanggo pangisi daya sing ndhukung nganyari perangkat kukuh lan ora nggunakake verifikasi kode download nggunakake teken digital. Pangisi daya sing ora ndhukung lampu kilat ora gampang diserang. Kerusakan sing bisa ditindakake gumantung saka model pangisi daya, output daya lan anané mekanisme proteksi kakehan ing piranti sing diisi.
Protokol pangisi daya cepet USB nuduhake proses cocog paramèter pangisian daya karo piranti sing diisi daya. Piranti sing diisi ngirim informasi menyang pangisi daya babagan mode sing didhukung lan voltase sing diidini (contone, tinimbang 5 volt, dilaporake bisa nampa 9, 12 utawa 20 volt). Pangisi daya bisa ngawasi paramèter nalika ngisi daya, ngganti tingkat pangisian daya lan nyetel voltase gumantung saka suhu.
Yen pangisi daya ngerteni paramèter sing dhuwur banget utawa owah-owahan ing kode kontrol pangisi daya, pangisi daya bisa ngasilake paramèter pangisian daya sing piranti kasebut ora dirancang. Cara serangan BadPower kalebu ngrusak perangkat kukuh utawa ngemot perangkat kukuh sing dimodifikasi menyang pangisi daya, sing nyetel voltase maksimal. Daya pangisi daya tuwuh kanthi cepet lan, contone, Xiaomi wulan ngarep ngeculake piranti sing ndhukung teknologi pangisi daya cepet 100W lan 125W.
Saka 35 adaptor pangisi daya cepet lan baterei eksternal (Power Banks) sing diuji dening peneliti, dipilih saka 234 model sing kasedhiya ing pasar, serangan kasebut ditrapake kanggo 18 piranti sing diprodhuksi dening 8 pabrikan. Serangan ing 11 saka 18 piranti sing bermasalah bisa ditindakake kanthi mode otomatis. Ngganti perangkat kukuh ing 7 piranti mbutuhake manipulasi fisik pangisi daya. Para panaliti nyimpulake manawa tingkat keamanan ora gumantung marang protokol pangisi daya cepet sing digunakake, nanging mung ana gandhengane karo kemampuan kanggo nganyari perangkat kukuh liwat USB lan nggunakake mekanisme kriptografi kanggo verifikasi operasi karo perangkat kukuh.
Sawetara pangisi daya diluncurake liwat port USB standar lan ngidini sampeyan ngowahi perangkat kukuh saka smartphone utawa laptop sing diserang tanpa nggunakake peralatan khusus lan didhelikake saka pemilik piranti kasebut. Miturut peneliti, udakara 60% chip pangisi daya cepet ing pasar ngidini nganyari perangkat kukuh liwat port USB ing produk pungkasan.
Umume masalah sing ana gandhengane karo teknologi serangan BadPower bisa diatasi ing tingkat perangkat kukuh. Kanggo mblokir serangan kasebut, produsen pangisi daya sing bermasalah dijaluk nguatake perlindungan marang modifikasi perangkat kukuh sing ora sah, lan produsen piranti konsumen nambah mekanisme kontrol kakehan tambahan. Pangguna ora dianjurake nggunakake adaptor karo Tipe-C kanggo nyambungake piranti pangisi daya cepet menyang smartphone sing ora ndhukung mode iki, amarga model kasebut kurang dilindhungi saka kakehan.
Source: opennet.ru