快充设备存在安详隐患 被进攻后大概烧毁手机(2)
“市场上的正常快充设备的体积和硬件本领受限,无法执行巨大的恶意行为,因此,当前披露的‘BadPower’进攻并不会造成用户隐私泄露问题。”张超说。
可是,假如厂商为快充设备提供了较强的计较本领,可能进攻者将伪造的快充设备送到用户手中。那么,进攻者就有时机操作快充设备提倡更巨大的进攻,大概会给用户带来严重的安详风险,如隐私数据泄露、智能设备被节制等。
连年来,雷同“BadPower”的进攻事件也层出不穷。腾讯安详玄武尝试室此前还曾披露过一种“BadBarcode”进攻,即通过恶意的条形码可进攻扫描仪,进而节制毗连扫描仪的设备(如收银电脑);尚有的是通过对U盘的固件举办逆向从头编程,执行恶意操纵;别的还曾呈现操作二维码入侵智能设备举办进攻、操作充电桩进攻电动车等安详事件。
安详隐患问题需要制造商来根治
针对“BadPower”带来的问题,应该如何有效规避息争决?
“发起用户应该提高安详意识,好比不要给数码产物外接来路不明的设备,包罗免费的充电器、U盘等。同时不要等闲把本身的充电器、充电宝等借给别人用。”张超说。
刘西蒙暗示,消费者的工业安详权既包罗利用商品和接管处事时的人身安详,也包罗商品和处事对付消费者其他工业不存在安详威胁。所以,假如用户利用了质量不外关的快充设备导致呈现安详问题,可以通过法令措施来掩护自身权益。
可是,“BadPower”问题最终还需要制造商来根治。
在技能层面上,充电设备的固件普遍利用单片机来编写措施与调试,不少厂家直接将充电USB接口和调试接口合二为一,这样就会导致设备容易发生安详裂痕、蒙受病毒入侵。因此,刘西蒙发起,在技能上该当做到充电USB接口和调试接口疏散,并在USB接口和调试接口上同时加密以防备外部入侵。
同时,厂商在设计和制造快充产物时,可通过晋升固件更新的安详校验机制、对设备固件代码举办严格安详查抄、查补常见软件安详裂痕等法子来防备蒙受“BadPower”进攻威胁。
据相识,此前腾讯安详玄武尝试室已将“BadPower”问题上报给国度信息安详裂痕共享平台,并和相关厂商相同,配合敦促全行业采纳努力法子没落“BadPower”问题。同时,有业内专家发起,将安详校验的技能要求纳入快速充电技能国度尺度。
“BadPower”进攻也再次提醒我们,跟着人类出产、糊口的数字化,数字世界和物理世界之间的边界正变得越来越恍惚。
“个中安详威胁问题的来源,一方面是行业还没有意识到安详前置的重要性,没有把安详做到设计环节;另一方面是对供给链引入的安详风险还没有充实的认识,因此数字安详问题就会酿成物理安详问题。”刘西蒙指出,必需增强对数据隐私等方面的安详掩护意识。
张超认为,由于技能和本钱范围、工钱因素等,安详威胁无法完全消除,攻防博弈会始终迭代演进。用户自身提高安详意识是最经济的应敌手段,而大力大举成长网络安详行业,买通产学研生态,依靠专业安详人才和产物提高厂商和用户的防护本领,才是反抗层出不穷的安详威胁的最有效手段。