Атака BadPower жжет

Специалисты Xuanwu Lab, исследовательского подразделения китайской технологической компании Tencent, описали возможность новой атаки, получившей название BadPower. В отличие от большинства хакерских атак она угрожает не данным пользователя, а самим устройствам – а то и здоровью их владельцев. BadPower эксплуатирует проблемы быстрых зарядных устройств, получивших популярность в последнее время.

При подключении такие устройства «вступают в диалог» со смартфонами или планшетами, чтобы определить подаваемое напряжение. Если заряжаемое устройство не поддерживает зарядку свыше стандартных 5 вольт, подаваться будут именно они. Но если устройство поддерживает более высокое напряжение, то могут быть поданы и 12, и 20 вольт и даже более высокие значения. Это, разумеется, существенно сокращает процесс зарядки. Однако китайские исследователи выяснили, что «обмануть» зарядные устройства не составляет труда.

Для осуществления атаки BadPower требуется физическое взаимодействие злоумышленника с зарядным устройством для изменения его прошивки. Но атака может быть выполнена и дистанционно: для этого вредоносным ПО придется заразить заряжаемое устройство. При его последующем подключении к зарядному устройству буде исполнен вредоносный код, изменяющий прошивку. Так или иначе, результат один: на устройство подается заведомо большее напряжение, что приводит к перегреву, расплавлению деталей, а в самом худшем случае – даже к возгоранию. Китайские специалисты проверили 35 моделей быстрых зарядных устройств и установили, что 18 из них уязвимы к атаке BadPower.

Источник: ZDNet