腾讯发现：部分电源固件攻击可以快速修改充电器来烧毁你的设备

据腾讯玄武实验室称，在一些快速充电器上，攻击者可以利用USB端口上的读写能力发送恶意代码来改变充电器的固件。

图片来源：腾讯玄武实验室

快速充电器可以在几分钟内补充手机的电量。但是千万不要让黑客更改固件， 否则充电器可能会导致你的设备着火。

腾讯安全玄武实验室研究人员最近发现可以用恶意代码感染各种快速充电器，以提供比连接设备更多的电压。过载导致受影响电子元件内的元件产生火花、熔融和熔化。

研究结果来自腾讯的玄武实验室，该实验室注意到了该技术的潜在问题。为了提供能源，快速充电器使用 USB 端口，该端口可以通过电缆连接到您的智能手机。但是，在某些情况下，同一个 USB 端口也将作为数据连接运行，使你能够将信息读写到充电器的固件。

据玄武实验室说，这些USB端口上的数据连接没有防止篡改的保护措施。因此，攻击者可以利用读取和写入功能发送恶意代码来更改充电器的固件。

默认情况下，对于不支持快速充电标准的设备，快速充电器只能提供标准的 5 伏电力。但是，通过重写固件，可以使充电器持续提供高达 20 V电压，这是会触发危险的过载。

固件也能会说谎。例如，充电器可以告诉支持快速充电的联网智能手机，它提供 5 伏的功率。但在现实中，充电器实际上提供20伏特，这可能会随着时间的推移损坏电池。

视频加载中...

实验室在视频中展示了其漏洞。恶意代码在智能手机上传输，一旦连接到快速充电器，智能手机会传输攻击。一旦固件被改变，快速充电器首先提供5伏电力，然后快速增加至20。

腾讯测试了来自不同制造商的35种型号，发现其中18种来自8个不同品牌的产品有问题——可以通过你插入手机的USB端口更新固件。研究人员能够构建一种通过电话或其他设备改变固件的方法。

腾讯没有说出那些制造了易受攻击设备的制造商的名字，但毫无疑问，我们肯定有人在使用。这意味着每个人都需要做一件简单的事情——永远不要让其他人使用你的充电器。

除了有人可能故意通过使用充电器来破坏固件，恶意软件也有可能实现，或者直接通过手机发送恶意固件更新到它使用的任何充电器。

腾讯表示，制造商需要至少做两件事之一来解决这个问题：1） 禁用充电器接受固件更新 2） 使用像手机一样的方法，其中只能接受由编写原始固件的公司签名的更新。腾讯已经联系了制造这些充电器的公司，并且没有发布任何有关如何对漏洞本身采取行动的信息。