偶爾我們會聽到有關電子產品因為使用了不合標準的雜牌充電器或充電線而引發火警的新聞。不過原來使用名廠出品的產品,也不是 100% 安全 ? 根據中國騰訊旗下的玄武實驗室的研究,發現可駭入 USB 充電器的方法,一旦被駭的充電器連接到手機,就會出現供電異常,甚至會將手機燒毀。
玄武實驗室發表的報告,指市面部分 USB 充電器產品會有稱為「BadPower」的安全漏洞,駭客可以透過操控充電器控制晶片的韌體發動「BadPower」攻擊。報告解釋,在正常情況下,當手機連接到 USB 充電器的時候,手機和充電器就會相互通訊,以確定將適當電量傳輸到手機而不損壞裝置,特別是一些支援包括 QC 或 PD 快速充電技術的充電器,都裝有晶片及韌帶去負責有關的工作。而「 BadPower 」攻擊就能干擾快速充電韌體的運作,令充電器發送超出手機能承受的電量,使手機過熱甚至起火。
玄武實驗室從市面上挑選了 35 款充電器,並將它連接到專門設計的可攜式設備,只短短幾秒內就將惡意程式碼傳到充電器。測試中有 18 款充電器因為受到 BadPower 攻擊而出現供電異常的情況。另外,如果手機或筆電本身已經感染了 BadPower 惡意程式碼,當接上充電器之後,亦會可能令充電器受到影響。問題是一般 USB 充電器都沒有軟件更新的機制,所以根本無法防禦 BadPower 的攻擊。玄武實驗室表示已和有發現安全風險的產品商聯絡並向他們提供建議,包括提高韌體安全性及防止手機過熱的額外充電保護措施,所以消費者毋須過渡擔心。