快充设备存安全隐患 被攻击后可能烧毁手机

在本次腾讯安全玄武实验室发布的“BadPower”问题报告中，攻击者是如何实现改写固件中的程序代码的？

科技日报记者了解到，“BadPower”的攻击方式包括物理接触和非物理接触。报告指出，攻击者发动物理接触攻击，主要是通过直接更换充电宝、快充转接器等设备固件，或利用手机、笔记本电脑等连接快充设备的数字终端改写快充设备固件中的代码，从而实现对充电过程中的电压电流等加以控制。

“具体来说，攻击者通过入侵充电设备改变充电功率，致使受电设备的元器件被击穿、烧毁，还可能给受电设备所在物理环境带来安全隐患。”福州大学数学与计算机科学学院院长助理、网络系统信息安全福建省高校重点实验室主任刘西蒙教授介绍说。

据了解，腾讯安全玄武实验室发现的18款存在“BadPower”问题的设备里，有11款设备可以进行无物理接触的攻击。

“当攻击者无法直接物理接触快充设备时，可以通过网络远程把攻击代码植入受电设备，当受电设备与快充设备连接时，攻击代码就可以直接替换掉快充设备固件上的程序代码。”张超说。

当攻击者替换了快充设备固件的程序代码后，一旦有新的受电设备连接到该快充设备，就会面临电压攻击的威胁。

USB接口可能成为风险入口

据了解，这18款存在“BadPower”问题的设备，涉及8个品牌、9个不同型号的快充芯片。