腾讯安全攻击测试：通过改写快充设备的固件控制充电行为，可让芯片烧毁

7月16日信息7 月 15 日，腾讯安全玄武试验室公布了一项定名为 “BadPower”的庞大安全问题钻研汇报。汇报指出，市道上现行大批迅速充终端装备存在安全问题，攻打者可通过改写迅速充装备的固件掌握充电行为，导致被充电装备元器件销毁，乃至更紧张的结果。

▲某受电装备遭 BadPower 攻打时芯片销毁的情况

中文国外打听到，汇报表现，腾讯玄武安全试验室对市道上 35 款支撑迅速充技术的充电器、充电宝等产品举行尝试，发现其中 18 款存在安全问题。攻打者可行使特制装备或被入侵的手机、条记本等数字终端来入侵迅速充装备的固件，掌握充电行为，使其向受电装备供应太高的功率，从而导致受电装备的元器件击穿、销毁，还大概进一步给受电装备地点物理情况导致安全危害。攻打方式包含物理触碰和非物理触碰，有相配一片面攻打能够通过长途方式实现。在玄武试验室发现的 18 款存在 BadPower 问题的装备里，有 11 款装备能够通过数码终端举行无物理触碰的攻打。

玄武试验室显露，差别的迅速充和谈本身没有安全性崎岖的差别，危害要紧取决因而否容许通过 USB 口改写固件，以及是否对改写固件操纵举行了安全判断等。玄武试验室显露，市道上迅速充芯片至少近六成具备制品后通过 USB 口更新固件的功效。

腾讯安全玄武试验室已将 “BadPower”问题上报给国度主管机构 CNVD。小米和 Anker 将在未来上市的迅速充产品中进入玄武安全检验关节。

玄武试验室显露，大片面 BadPower 问题可通过更新装备固件举行整修。未来，厂家在计划和生产迅速充产品时可通过提升固件更新的安全判断机制、对装备固件代码举行严酷安全搜检、防备多见软件毛病等错失来防备 BadPower 产生。