BadPowerと名付けられたこの手法は、過去数年間に発売された高出力なUSB急速充電器の内部ファームウェアが接続されたデバイスと通信して適切な充電電圧や電流を選択しているのを逆手に取り、接続したスマートフォンやノートPCから改変コードを上書きすることで、接続先のデバイスが耐えられない高電圧を供給させてしまいます。
具体的に言えば、改変された充電器を知らずに使った場合、充電しようと接続したスマートフォンやタブレット、ノートPCなどが突然火を噴く可能性があるということです。最近では100Wを超す高出力なUSB急速充電器も開発されているため、こうした攻撃が実際に起これば、非常に危険な結果になる可能性があります。
Xuanwu Labのチームは、市販されている35種類の急速充電器でBadPower攻撃を試してみたところ、8社18機種で攻撃が可能だったことを確認したと報告しました。また市場に出ている急速充電器の充電処理を司るチップを調査したところ、全体の60%近くが、USB端子経由でファームウェアを書き換えられるようになっていたと報告しました。
幸いなことに、もし充電器に改変ファームウェアを入れられてしまった場合でも、ベンダーがリリースしているファームウェアアップデートを適用すれば修正は可能です。ただし、一部製品のベンダーはファームウェアの更新を提供しておらず、この場合はユーザーは充電器を処分する以外に対応策はなさそうです。Xuanwu Labは充電器のファームウェアコードの更新におけるセキュリティ検証の仕組みを導入するよう呼びかけています。
この問題はセキュリティ研究者が発見したもので、悪用された事例の報告があったわけではありません。とはいえたかが充電器といえども、高出力かつ高機能な製品は、信頼できるメーカーのものを選ぶほうが良さそうです。
https://japanese.engadget.com/badpower-attack-quick-charge-vulnerability-073012810.html
改変ファーム入れる手法ってどんなだ方法だ?
買うとき気を付けてればいいのか?
PD規格が性善説で作られてるし
また怪奇大作戦に出てきそうな手口を
日本のブランドがついてても中身は中国からの調達だろうから怖いな。
まだまだガラケーでいいや
引用元:https://www.logsoku.com/r/2ch.sc/newsplus/1595300059/
コメント