Tencentin tutkijat esittelivät BadPower-hyökkäyksen: Pikalaturin ohjelmistoon voi hyökätä, ladattava laite voi tuhoutua - Tietoturva - Ilta-Sanomat

Latureista paljastui vaarallinen tietoturva-aukko: Uhkana jopa tulipalo

Tutkijat todistivat vaaran lukuisissa pikalatausta tukevissa latureissa. Kaikkia vaarallisia malleja ei pystytä korjaamaan.

20.7.2020 11:38

Nopeasti yleistyneet pikalatausta tukevat laturit ovat usein haavoittuvia manipuloinnille, kiinalaisen teknologiajätti Tencentin tutkimusyksikkö Xuanwu Lab selvitti. Kiinankielisestä raportista uutisoi ZDNet.

Aiemmin esimerkiksi matkapuhelimen akun lataaminen täyteen vei useita tunteja. Pikalaturi tekee tämän moninkertaisesti nopeammin, jos ladattava laite sitä tukee. Tätä varten laturissa on oma ohjelmistonsa, joka neuvottelee sopivimman nopeuden laitteen kanssa. Tutkijoiden mukaan tähän ohjelmistoon on mahdollista iskeä.

Tutkijoiden onnistui syöttää ladattaviin laitteisiin sähköä liian korkealla jännitteellä. Seurauksena ladattavan laitteen komponentit voivat ylikuumentua, sulaa ja harvoissa tapauksissa jopa syttyä palamaan vaarantaen fyysisen ympäristön. Raportissa on mukana lyhyt hyökkäystä käytännössä esittelevä video.

– BadPower ei aiheuta tietovuotoja toisin kuin perinteiset verkon turvallisuusongelmat, mutta se voi aiheuttaa fyysistä tuhoa digitaalisuuden kautta, raportissa sanotaan.

BadPower-niminen hyökkäys on mahdollista toteuttaa kahdella eri tavalla. Ensimmäisessä käytetään erityistä hyökkäyslaitetta, joka on saatava fyysisesti kytkettyä hyökättävään laturiin sen ohjelmiston muuttamiseksi. Toinen tapa on saastuttaa ensin ladattava puhelin tai vaikka kannettava tietokone. Kun pikalaturin sitten kytkee tähän saastuneeseen laitteeseen, haittakoodi hyppää laturiin ja aiheuttaa ylijännitehyökkäyksen.

Hyökkäyksen aiheuttama vahinko riippuu pikalaturin mallista sekä vastaanottavan laitteen suojauksista. Tencentin tutkijat kävivät läpi 35 eri pikalaturia ja niistä 18 mallia 8 eri valmistajalta oli haavoittuvia BadPower-hyökkäykselle.

Tutkijoiden mukaan useimmat BadPower-hyökkäyksen ongelmat voidaan korjata päivittämällä laturin ohjelmisto. Samalla he kuitenkin huomauttavat, että joissakin pikalatureissa ohjelmiston päivittäminen ei ole lainkaan mahdollista.

Raportin havainnot on kerrottu eteenpäin valmistajille. Tavoitteena on kiihdyttää alan standardeja pikalatauksen suojaamiseksi tällaisilta hyökkäyksiltä. Tutkijat myös kehottavat kuluttajia välttämään laturiensa luovuttamista ulkopuolisille.

Osion tuoreimmat

Luitko jo nämä?