腾讯安全玄武实验室针对市面上的快充芯片进行了调研, 发现近六成可通过USB口更新代码, 安全风险不容忽视 。 那么, “BadPower”是否对用户隐私安全问题构成威胁?
“市场上的正常快充设备的体积和硬件能力受限, 无法执行复杂的恶意行为, 因此, 当前披露的‘BadPower’攻击并不会造成用户隐私泄露问题 。 ”张超说 。
但是, 如果厂商为快充设备提供了较强的计算能力, 或者攻击者将伪造的快充设备送到用户手中 。 那么, 攻击者就有机会利用快充设备发起更复杂的攻击, 可能会给用户带来严重的安全风险,如隐私数据泄露、智能设备被控制等 。
近年来, 类似“BadPower”的攻击事件也层出不穷 。 腾讯安全玄武实验室此前还曾披露过一种“BadBarcode”攻击, 即通过恶意的条形码可攻击扫描仪, 进而控制连接扫描仪的设备(如收银电脑);还有的是通过对U盘的固件进行逆向重新编程, 执行恶意操作;另外还曾出现利用二维码入侵智能设备进行攻击、利用充电桩攻击电动车等安全事件 。
安全隐患问题需要制造商来根治
针对“BadPower”带来的问题, 应该如何有效规避和解决?
“建议用户应该提高安全意识, 比如不要给数码产品外接来路不明的设备, 包括免费的充电器、U盘等 。 同时不要轻易把自己的充电器、充电宝等借给别人用 。 ”张超说 。
刘西蒙表示, 消费者的财产安全权既包括使用商品和接受服务时的人身安全, 也包括商品和服务对于消费者其他财产不存在安全威胁 。 所以, 如果用户使用了质量不过关的快充设备导致出现安全问题, 可以通过法律程序来保护自身权益 。
但是, “BadPower”问题最终还需要制造商来根治 。
在技术层面上, 充电设备的固件普遍使用单片机来编写程序与调试, 不少厂家直接将充电USB接口和调试接口合二为一, 这样就会导致设备容易产生安全漏洞、遭受病毒入侵 。 因此, 刘西蒙建议, 在技术上应当做到充电USB接口和调试接口分离, 并在USB接口和调试接口上同时加密以防止外部入侵 。
同时, 厂商在设计和制造快充产品时, 可通过提升固件更新的安全校验机制、对设备固件代码进行严格安全检查、查补常见软件安全漏洞等措施来防止遭受“BadPower”攻击威胁 。
据了解, 此前腾讯安全玄武实验室已将“BadPower”问题上报给国家信息安全漏洞共享平台, 并和相关厂商沟通, 共同推动全行业采取积极措施消灭“BadPower”问题 。 同时, 有业内专家建议, 将安全校验的技术要求纳入快速充电技术国家标准 。
“BadPower”攻击也再次提醒我们, 随着人类生产、生活的数字化, 数字世界和物理世界之间的界限正变得越来越模糊 。
“其中安全威胁问题的根源, 一方面是行业还没有意识到安全前置的重要性, 没有把安全做到设计环节;另一方面是对供应链引入的安全风险还没有充分的认识, 因此数字安全问题就会变成物理安全问题 。 ”刘西蒙指出, 必须加强对数据隐私等方面的安全保护意识 。
张超认为, 由于技术和成本局限、人为因素等, 安全威胁无法完全消除, 攻防博弈会始终迭代演进 。 用户自身提高安全意识是最经济的应对手段, 而大力发展网络安全行业, 打通产学研生态, 依靠专业安全人才和产品提高厂商和用户的防护能力, 才是对抗层出不穷的安全威胁的最有效手段 。
推荐阅读
- 苹果13铃声怎么设置
- bios通电自动开机设置
- 疯狂的手机开孔全屏幕设计 据称明年将取代目前的刘海屏
- 微软为双屏移动设备申请专利 专注于视频通话
- 电脑中文件显示后缀名怎么设置
- 如何设置群代办
- 苹果成自研芯片狂魔!iPhone 11 U1为自主设计芯片
- 怎么设置来电秀视频铃声
- 三星新专利揭示了一种带有水滴凹口和框架内传感器的设计
- 可折叠有机电池问世 可用于起搏器等人体植入设备