Bize habercilerden veya telefonla ulaşın.

whatsapp telegram viber phone email
+79214188555

Атака на зарядные устройства

root

СисАдмин Форума
Yönetici
Full members of NP "MOD"
Katılım
17 Şub 2007
Mesajlar
677
Tepkime puanı
1,022
Puanları
93
Yaş
57
Мы живем в эпоху, когда вредоносные программы нацелены на смартфоны и другие устройства из мира Интернета вещей (IoT). Это нежелательная ситуация, но, к сожалению, происходит чаще и деструктивно.

Конечно, преступники ищут другие способы использования атак, выбирая другие пути и варианты. В последнее время это также стало касаться зарядных устройств, которые могут заряжать смартфон, пока он не расплавится или не сгорит.

Введение в атаку "Bad Power"
Недавно исследователям безопасности удалось скомпрометировать множество зарядных устройств с помощью специально подготовленного вредоносного кода, чтобы обеспечить большее напряжение, чем может выдержать подключенное устройство. При таком подходе перегрузка вызвала искрение, шипение и плавление компонентов внутри пораженной электроники.

Атака известна как "Bad Power". Она работает путем изменения параметров по умолчанию в прошивке для быстрой зарядки.


Давайте немного разберемся, как работают "бытсрые" зарядные устройства. Они могут выглядеть как обычные зарядные устройства, но они построены на специальной прошивке. Прошивка зарядного устройства может взаимодействовать с подключенным устройством, чтобы установить скорость зарядки в зависимости от возможностей устройства - помните, что каждое устройство имеет свои особенности и скорость питания.

В этом смысле, если целевое устройство не поддерживает функцию быстрой зарядки, быстрое зарядное устройство обеспечивает стандартную мощность - 5В. С другой стороны, если оно принимает большие входы для зарядки, зарядное устройство может использовать 12В, 20В или даже более высокие скорости зарядки. Это решающий момент, в котором можно использовать атаку Bad Power.

Подойдя к данному этапу, атака bad power портит прошивку зарядного устройства. Эксплойт изменяет параметры зарядки по умолчанию в прошивке и вмешивается в них, чтобы получить более высокое напряжение, чем может выдержать зарядное устройство. Такое ненормальное поведение повреждает и разрушает компоненты принимающего устройства, что в драматических сценариях приводит к его полному сгоранию.

Следующее видео является доказательством концепции от Tencent Security Lab, где они демонстрируют атаку Bad Power.



Атака Bad Power в цифрах
Исследовательская группа Tencent проверила атаку Bad Power на 35 быстрых зарядных устройствах из 234 моделей, доступных на рынке. Согласно их результатам, этой уязвимости подвержены 18 моделей от 8 различных производителей.

Худший сценарий случается с некоторыми зарядными устройствами конкретных производителей. Уязвимость, связанная с Bad Power, может быть устранена в обычных зарядных устройствах путем обновления прошивки устройства, но исследователи заявили, что 18 вариантов основных микросхем не были поставлены с возможностью обновления прошивки. В этом случае устранить уязвимость в этих устройствах невозможно.

С этой точки зрения этот недостаток считается критической проблемой, не имеющей быстрого и эффективного решения. У многих людей дома есть три или четыре зарядных устройства, и они, вероятно, сейчас уязвимы.

Будьте осторожны со своим устройством
Одна из особенностей этой атаки состоит в том, что любой может сделать ее смертельной и бесшумной. Чтобы уничтожить любое устройство, достаточно одного простого шага: подключить его к правильному быстрому зарядному устройству. В худшем случае атака может повредить устройство за несколько секунд.

e95ffb068a9de4ea95c1b.jpg

Устройство повреждено при подключении к «вредоносной» быстрой зарядке.
По словам исследователей, «с некоторыми устройствами быстрой зарядки злоумышленникам даже не понадобится оборудование. Они могут загрузить код атаки, чтобы изменить прошивку на целевом смартфоне или ноутбуке. Когда жертва подключает зараженный смартфон или ноутбук к быстрому зарядному устройству, устройство может загореться ».

Подводя итоги
Эксплуатацию физических и аппаратных недостатков следует рассматривать как очень серьезную проблему в наши дни. Хотя плохое питание может быть чудовищным, если целевое устройство подключено к правильному зарядному устройству, ущерб, нанесенный данной атакой, будет варьироваться в зависимости от модели быстрого зарядного устройства, мобильного устройства и защиты от вредоносного кода.

Исследователи не сообщили названия уязвимых продуктов, но связались с конкретными поставщиками. Также сообщили о потенциальной проблеме в Китайскую национальную базу данных уязвимостей.

Чтобы смягчить и снизить риски данной атаки, рекомендуется, чтобы производители добавляли дополнительные предохранители в устройства, которые поддерживают быструю зарядку с низким напряжением. Другое предложение - включить усиление прошивки для предотвращения несанкционированных изменений, а также развертывание защиты от перегрузки на заряженных устройствах.

Пользователи должны быть предупреждены о проблемах использования сторонних зарядных устройств или пауэрбанков - например, в киберпространстве, аэропорту, магазинах и так далее.

Данная статья представлена исключительно в ознакомительных целях и не несёт призыва к действию. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий.​
 
Original message
Мы живем в эпоху, когда вредоносные программы нацелены на смартфоны и другие устройства из мира Интернета вещей (IoT). Это нежелательная ситуация, но, к сожалению, происходит чаще и деструктивно.

Конечно, преступники ищут другие способы использования атак, выбирая другие пути и варианты. В последнее время это также стало касаться зарядных устройств, которые могут заряжать смартфон, пока он не расплавится или не сгорит.

Введение в атаку "Bad Power"
Недавно исследователям безопасности удалось скомпрометировать множество зарядных устройств с помощью специально подготовленного вредоносного кода, чтобы обеспечить большее напряжение, чем может выдержать подключенное устройство. При таком подходе перегрузка вызвала искрение, шипение и плавление компонентов внутри пораженной электроники.

Атака известна как "Bad Power". Она работает путем изменения параметров по умолчанию в прошивке для быстрой зарядки.


Давайте немного разберемся, как работают "бытсрые" зарядные устройства. Они могут выглядеть как обычные зарядные устройства, но они построены на специальной прошивке. Прошивка зарядного устройства может взаимодействовать с подключенным устройством, чтобы установить скорость зарядки в зависимости от возможностей устройства - помните, что каждое устройство имеет свои особенности и скорость питания.

В этом смысле, если целевое устройство не поддерживает функцию быстрой зарядки, быстрое зарядное устройство обеспечивает стандартную мощность - 5В. С другой стороны, если оно принимает большие входы для зарядки, зарядное устройство может использовать 12В, 20В или даже более высокие скорости зарядки. Это решающий момент, в котором можно использовать атаку Bad Power.

Подойдя к данному этапу, атака bad power портит прошивку зарядного устройства. Эксплойт изменяет параметры зарядки по умолчанию в прошивке и вмешивается в них, чтобы получить более высокое напряжение, чем может выдержать зарядное устройство. Такое ненормальное поведение повреждает и разрушает компоненты принимающего устройства, что в драматических сценариях приводит к его полному сгоранию.

Следующее видео является доказательством концепции от Tencent Security Lab, где они демонстрируют атаку Bad Power.



Атака Bad Power в цифрах
Исследовательская группа Tencent проверила атаку Bad Power на 35 быстрых зарядных устройствах из 234 моделей, доступных на рынке. Согласно их результатам, этой уязвимости подвержены 18 моделей от 8 различных производителей.

Худший сценарий случается с некоторыми зарядными устройствами конкретных производителей. Уязвимость, связанная с Bad Power, может быть устранена в обычных зарядных устройствах путем обновления прошивки устройства, но исследователи заявили, что 18 вариантов основных микросхем не были поставлены с возможностью обновления прошивки. В этом случае устранить уязвимость в этих устройствах невозможно.

С этой точки зрения этот недостаток считается критической проблемой, не имеющей быстрого и эффективного решения. У многих людей дома есть три или четыре зарядных устройства, и они, вероятно, сейчас уязвимы.

Будьте осторожны со своим устройством
Одна из особенностей этой атаки состоит в том, что любой может сделать ее смертельной и бесшумной. Чтобы уничтожить любое устройство, достаточно одного простого шага: подключить его к правильному быстрому зарядному устройству. В худшем случае атака может повредить устройство за несколько секунд.

e95ffb068a9de4ea95c1b.jpg

Устройство повреждено при подключении к «вредоносной» быстрой зарядке.
По словам исследователей, «с некоторыми устройствами быстрой зарядки злоумышленникам даже не понадобится оборудование. Они могут загрузить код атаки, чтобы изменить прошивку на целевом смартфоне или ноутбуке. Когда жертва подключает зараженный смартфон или ноутбук к быстрому зарядному устройству, устройство может загореться ».

Подводя итоги
Эксплуатацию физических и аппаратных недостатков следует рассматривать как очень серьезную проблему в наши дни. Хотя плохое питание может быть чудовищным, если целевое устройство подключено к правильному зарядному устройству, ущерб, нанесенный данной атакой, будет варьироваться в зависимости от модели быстрого зарядного устройства, мобильного устройства и защиты от вредоносного кода.

Исследователи не сообщили названия уязвимых продуктов, но связались с конкретными поставщиками. Также сообщили о потенциальной проблеме в Китайскую национальную базу данных уязвимостей.

Чтобы смягчить и снизить риски данной атаки, рекомендуется, чтобы производители добавляли дополнительные предохранители в устройства, которые поддерживают быструю зарядку с низким напряжением. Другое предложение - включить усиление прошивки для предотвращения несанкционированных изменений, а также развертывание защиты от перегрузки на заряженных устройствах.

Пользователи должны быть предупреждены о проблемах использования сторонних зарядных устройств или пауэрбанков - например, в киберпространстве, аэропорту, магазинах и так далее.

Данная статья представлена исключительно в ознакомительных целях и не несёт призыва к действию. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий.​