Čínští bezpečnostní experti ze společnosti Tencent Security Labs objevili vážnou bezpečnostní chybu, která jim umožňuje změnit firmware v nabíječkách s rychlým nabíjením a způsobit fyzické poškození čemukoli, co je k nim připojené. Vzpomínáte si na vybuchující Galaxy Note 7? Tato zranitelnost, pojmenovaná BadPower, dokáže učinit to samé jakémukoli telefonu.
Jak je to vůbec možné?
Jak je něco takového možné? Aby jakékoli zařízení napájené baterií mohlo používat rychlé nabíjení, zařízení a nabíječka spolu musejí komunikovat. Například když uživatel do rychlé nabíječky zapojí telefon, nabíječka potřebuje vědět, kolik energie v baterii zbývá, jaká je teplota a jaké napětí je aplikováno na nabíjecí obvod uvnitř telefonu.
Rychlá nabíječka toto dokáže, protože je to vlastně chytré zařízení a má mikroprocesor a firmware, který umí tyto informace z telefonu shromáždit prostřednictvím kabelu. Firmware sice není plnohodnotný operační systém nebo něco podobného, je však zakódován a zapsán do paměti uvnitř nabíječky.
Některé nabíječky s rychlým nabíjením – laboratoř Tencentu testovala 35 modelů od různých výrobců a zjistila, že 18 z nich od osmi výrobců mělo problémy – mohou aktualizovat svůj firmware prostřednictvím USB portu, do kterého se telefon zapojuje. Expertům z laboratoře se podařilo vymyslet metodu pro změnu firmwaru prostřednictvím telefonu nebo jiného zařízení, pomocí níž může poté firmware vyslat mnohem větší napětí, než by měl, a zařízení k portu připojené doslova usmažit.
Tři zásady pro snížení rizika nákazy malwarem
Vedle lidí, kteří by mohli zařízení schopné zničit rychlou nabíječku používat vědomě, zde existuje možnost, že by se někdo mohl stát obětí malwaru, jenž promění jeho telefon na „badpowerové“ zařízení snažící se posílat závadný firmware do jakékoli nabíječky, kterou používá. Aby se riziko nákazy maximálně snížilo, každý by se měl řídit těmito zásadami: nikdy neinstalovat aplikace z podezřelých zdrojů, nechat Google nebo jiný vyhledávač malwaru dělat jejich práci a přijímat aktualizace, jakmile jsou dostupné.
Podle Tencentu musejí výrobci učinit jednu z těchto dvou věcí, aby tento problém vyřešili. Za prvé – vypnout možnost přijímat aktualizace firmwaru nebo za druhé – použít metodu, jakou používají telefony, kdy mohou být přijímány jen updaty podepsané společnostmi, které programují původní firmware.
Tencent jména výrobců, jejichž nabíječky jsou takto zranitelné, neuvádí, nicméně můžeme poměrně bezpečně předpokládat, že někteří z nás je používají. To znamená, že každý by měl udělat jednoduchou věc – nikdy nikomu nedovolit používat naši nabíječku.
