Hakerzy mogą zaatakować szybką ładowarkę, aby spalić Twój telefon

BadPower to nie przelewki.

Eksperci ds. cyberbezpieczeństwa z chińskiej firmy Xuanwu Lab (to część znanego koncernu Tencent) poinformowali, że są w stanie wpłynąć na oprogramowanie ładowarek obsługujących technologię szybkiego ładowania w taki sposób, by zmusić je do „przeładowania” podłączonego smartfona (za portalem ZDNet). Urządzenie ulega stopieniu, a w niektórych wypadkach nawet się zapala (zależy to zarówno od modelu ładowarki, jak i ładowanego sprzętu).

Omawiana technika cyberataku została nazwana BadPower. Ładowarkę można zhakować w tajemnicy (nie ma żadnych komunikatów, przez które trzeba się przeklikać) i naprawdę szybko. W wielu wypadkach nie jest też wymagane żadne dodatkowe wyposażenie – wystarczy podłączyć telefon na parę sekund do urządzenia, na które chcemy wpłynąć. Kiedy złośliwy kod zostanie wgrany, haker może opuścić pomieszczenie i potem zostaje mu tylko czekać, aż zastawiona przez niego pułapka zostanie uruchomiona (opis ataku sugeruje, że można go dokonać tylko na miejscu, mając kontakt z ładowarką). Do raportu opublikowanego przez Xuanwu Lab dołączono film prezentujący sposób działania hacka.

Eksperci przetestowali 35 szybkich ładowarek i aż 18 z nich (od ośmiu różnych producentów) było podatnych na atak BadPower. Nie podano informacji o specyfikacji i markach testowanych urządzeń (może to być celowe działanie, mające na celu ograniczenie rozpowszechniania się tego ataku). W 11 przypadkach ataku można było dokonać z wykorzystaniem zwykłego smartfona.

Lukę można wyeliminować poprzez aktualizację oprogramowania, ale tutaj pojawia się kolejny problem – spora część układów stosowanych w szybkich ładowarkach (18 z 34 chipów tego typu) nie umożliwia zmiany firmware’u. Badacze poinformowali wszystkich producentów o swoich odkryciach.

1. Tencent – strona oficjalna