20:42
20/7/2020

Brzmi strasznie. Chińscy badacze informują, że są w stanie tak zmodyfikować firmware tzw. “szybkich ładowarek”, że w konsekwencji mogą one zniszczyć lub nawet “wybuchnąć” urządzenie podpięte do ładowania. Ale, jak zaraz zobaczycie, chociaż “branżowe serwisy straszą atakiem”, raczej nie macie się czym przejmować.

BadPower

Autorami ataku są badacze z Xuanwu Lab, jednostki badawczej chińskiego giganta Tencent. Chińczycy na tapet wzięli nowoczesne ładowarki, które poza samymi “głupimi drutami” są sterowane przy pomocy wbudowanego weń mikroprocesora.

Podmiana firmware (ładowarkę trzeba podłączyć do laptopa i “przeprogramować”) pozwoliła badaczom na ignorowanie wbudowanych w oprogramowanie ładowarki testów i — w konsekwencji — ładowanie urządzeń, które nie wspierają “szybkiego ładowania” aż 20V. Z testowanych 35 ładowarek 18 udało się przeprogramować i uzłośliwić.

W skrócie, to co zrobili badacze, to próba podania większego napięcia, które w przypadku gorzej wykonanych urządzeń elektronicznych spowoduje ich uszkodzenie i/lub dodatkowe efekty audio-wizualne.

Ale… I to duże ale, firmware’u ładowarek Chińczycy nie są w stanie zmieniać zdalnie.

Nie taki straszny, jak go malują…

Do przeprowadzenia ataku wymagany jest dostęp fizyczny do ładowarki. A to oznacza, że atak jest mało straszny, bo jak ktoś ma dostęp fizyczny do Waszej ładowarki, to zamiast bawić się w podmianę firmware’u, może po prostu walnąć młotkiem w Wasze urządzenie, wykonać gorsze ataki albo podstawić całkowicie inną, zdecydowanie groźniejszą ładowarkę:

Atak Chińczyków to trochę taka sztuka dla sztuki. Choć wiele się mówi o tym jakie to straszne rzeczy mogą robić urządzenia podpinane przez USB urządzeniom do których są podpinane, to żadnych ataków na masową skalę tym wektorem nie odnotowano. Niepraktyczne i kosztowne.

Jak to już kiedyś pisaliśmy przy opisywaniu złośliwego kabla USB Ninja — fajne to są gadżety, ale głównie żeby wywołać dźwięk uzasadnionego “wow” podczas konferencyjnej prezentacji, bo prezentacja ataku jest spektakularna. Natomiast jego praktyczne zastosowanie — zwłaszcza przeciw przeciętnemu Kowalskiemu — tego typu ataków jest niewielkie.

Mam ładowarkę — co robić, jak żyć?

Ładować dalej. I (w zależności od typu baterii) nie przeładowywać i nie rozładowywać do zera. A sprzęt służyć będzie Wam dłużej. No chyba, że w trakcie ładowania pizgnie w niego piorun (tu za wiele zrobić nie można, choć polecamy obejrzenie tego filmiku o przepięciach). Dlatego zawsze powinniście dbać o kopie bezpieczeństwa istotnych dla Was danych. W przypadku scenariusza piorunowego przydać się może też kopia “off-site”. Dziś nie trzeba mieć znajomych ani rodziny — backup do chmury jest bardzo tani, a usług od nomen omen pierona :-)

Aha, jeśli stopień Waszej paranoi jest na wyższym niż niższym poziomie, to oczywiście nie przyjmujcie od nikogo żadnych ładowarek-prezentów. Nie kupujcie też tych chińskich. A jadąc do Chin ze swoimi ładowarkami, pomalujcie je lakierem do paznokci z brokatem.

PS. Zamiast przejmować się tym atakiem polecamy, jeśli naprawdę chcecie wywołać ogień, rozkręcić volume na full i zapodać podkładacza ognia:

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

51 komentarzy

Dodaj komentarz
  1. “Chińczycy na tapet wzięli nowoczesne ładowarki”
    Ktoś jest mi w stanie wytłumaczyć co to jest ten tapet? Albo na ile tych tapet wzięli co? Kredyt?

    • Następnym razem, zamiast się ośmieszać, nieudolnie zgrywając cwaniaka, polecam sprawdzić najpierw dany zwrot w google.

    • Stół do obrad. Brawo dla Niebezpiecznika za poprawną formę! https://sjp.pwn.pl/poradnia/haslo/na-tapet-czy-na-tapete;15076.html

    • Tapet to taki rodzaj stołu. Od tego się wzięło powiedzenie “wziąć coś na tapet”.

    • https://sjp.pl/tapet

    • Oho, ktoś chyba nie słuchał Paulinki ;>

    • Słyszałeś może określenie “mowa potoczna”
      Język ewoluuje, więc może to nie portal dla ciebie specjalisto

    • “Pierwotnie chodziło o tapet – stół przykryty zielonym suknem, przy którym toczą się obrady.” Za: https://sjp.pwn.pl/poradnia/haslo/na-tapet-czy-na-tapete;15076.html .

    • Tapet to taki “stół przykryty obrusem” zwykle zielonym wykorzystywany dawniej w “analogowych salkach konferencyjnych” :-) Wziąć coś na tapet, tzn położyć np. dokumenty na tymże stole i nad nimi pracować. Ot, taka historia. A w zasadzie szczegóły tu: https://obcyjezykpolski.pl/o-zwrocie-byc-na-tapecie/

    • Stół przykryty zielonym suknem, przy którym toczą się obrady.

    • tapet to dawniej stół/pulpit

    • Tapet to stół, przy którym odbywały się obrady.

    • Tapet to stół przykryty zielonym suknem, przy którym toczą się obrady.

    • https://pl.wikipedia.org/wiki/Tapet

    • Dobrze że nie napisali “Chińczycy na przysłowiowy tapet wzięli nowoczesne ładowarki”.
      Bo by było pytanie nie tylko co to tapet, to jeszcze jakie przysłowia z nim znamy… MSPANC, nie będę rozwijać skrótu od czegoś jest Google.

    • Serio? Kompromitujesz się, użyj Google skoro głowa za ciasna.

    • Co więcej, “wziąć na tapet” jest formą pierwotną, poprawną, a “na tapetę” – niepoprawną. https://sjp.pwn.pl/poradnia/haslo/na-tapet-czy-na-tapete;15076.html Też mnie to zaskoczyło.

    • Przecież tak się właśnie mówi dość często – wziąć coś na tapet

  2. > na tapet wzięli
    feelsgoodman.png
    w końcu ktoś potrafi poprawnie skorzystać z tapetu.
    dla pytających: https://sjp.pwn.pl/poradnia/haslo/na-tapet-czy-na-tapete;15076.html

  3. ‘Tapet’ jest poprawny:
    https://sjp.pwn.pl/poradnia/haslo/na-tapet-czy-na-tapete;15076.html

  4. @Cookofski akurat Na tapet jest prawidłowo użyte

  5. Na zdjęciu to chyba Power over Ethernet! :)

  6. SJP PWN: tapet daw. pokryty zielonym suknem stół, przy którym toczą się jakieś obrady

    Tak samo związek frazeologiczny wziąć coś na tapet jest poprawny ponieważ chodziło o nawiązanie do podjęcia jakiegoś tematu w dyskusji. :)

  7. Oj tam. Może w Krakowie tak mówią. Na przykład jedząc borówki, wyszedłszy ze dworu na pole.

  8. Nie wiem czy tak do końca niemożliwe do przeprowadzenia…

    “When the user connects their infected smartphone or laptop to the fast charger, the malicious code modifies the charger’s firmware, and going forward the fast charger will execute a power overload for any subsequently connected devices.”

    Załóżmy teoretyczny scenariusz: atak na jeden smartfon, po jego podłączeniu pod ładowanie podmiana firmware ładowarki – a potem spalenie innego/innych podłączanych do tej samej ładowarki telefonów.
    Wersja B “Przepraszam. mogę sobie podładować telefon”?
    Wersja C: Wypuszczenie serii podróbek powerbanków z dodatkową niespodzianką.

    • Ładowarki w centrach handlowych albo autobusach…

  9. No dobra. Wczoraj byłem w czepliwym nastroju. Normalnie bym najpierw sprawdził.
    “Tapet – dawniej stół, przy którym odbywały się obrady, przykryty suknem, zwykle w kolorze zielonym”. Mea culpa.

  10. Oddawajcie wasze artykuły do edycji pod względem gramatyki i składni. Robicie takie błędy, źle formułujecie zdania – no nie da się tego czytać. Jakby ktoś po podstawówce to pisał.

  11. Skoro komentarze zeszły już w stronę poprawności językowej, to ja też coś dołożę:
    i + albo = lub. “i/lub” to jest nadmiarowe.

  12. Po co ta kłótnia panowie? Przeczytajcie końcówke artykułu – zamiast się spierać, posłuchajcie The Prodigy.

  13. Każdy, kto bierze na “tapet” ma na starcie mój szacunek.
    Jak ktoś coś bierze na tapetę, to żartobliwie pytam, czy nie obawia się, że mu to ze ściany odpadnie, a potem tłumaczę, dlaczego często zapominane określenie pulpitu pokrytego suknem ma niepodważalny sens w przytaczanym frazeologizmie.

  14. Tapeta się czepiają, a że piorun “pizgnie” to już nikomu nie wadzi?

    • Póki nie pizgnie w tapet, wszystko jest w porządku.

  15. Tyle komentarzy i praktycznie nic na temat wartości samego artykułu… Serio caly ten spam potrzebny?

  16. Ludzie! ogarnijcie się! jedna osoba napisała coś o tapecie, po co reszta…
    przyszedłem tutaj czytać mędrkowanie?

  17. “Nie taki straszny, jak go malują…”???
    Scenariusz:
    Scena 1:
    Złośliwy telefon zaraża dobrą ładowarkę.
    Scena 2:
    Zarażona ładowarka, wybucha niezłośliwy telefon.
    –kurtyna–

    • To teraz jeszcze powiedz jak uzłośliwisz pierwszy z telefonów :) I skoro możesz to zrobić, to dlaczego nie od razu atak na telefon #2?

    • @Piotr Konieczny:
      1. “Przepraszam, mogę podładować telefon, bo zaraz mi padnie” – ile osób nie odmówi takiej prośbie?
      2. Pan X używa starego smartfona, jeszcze z Androidem 6, poprawki zabezpieczeń ostatnie z 2016. Jako że jest świadomy zagrożenia, używa go do “głupot” – a także kilku nowych telefonów + powerbanku. Ładuje wszystkie tą samą ładowarką, bo po co bawić się kilkoma…

    • @niebezpiecznik a czy atakując telefon mozemy spowodować zeby się zapalił?
      jeśli nie, oraz jeśli z telefonu możemy przeprogramować podłączoną do niego ładowarkę to chyba jednak można coś zdziałać zdalnie…

    • Tak. Możesz go oblać benzyną i podpalić. Tu i tu — atak możliwy z dostępem fizycznym.

    • @Piotr Konieczny:

      Hipotetyczna sytuacja – cel posiada 2 telefony i 1 szybką ładowarkę:
      1. “bezpieczny”, regularnie aktualizowany do szyfrowanej komunikacji, bankowości i innych zastosowań poważnych,
      2. “brudny”, najprawdopodobniej starszy bez dostępnych aktualizacji, słabo zabezpieczony, używany do gier, testowania niezaufanych aplikacji i ogólnie głupot.
      Nie potrafimy zdalnie dobrać się do telefonu “bezpiecznego”, więc infekujemy “brudny” tak, by przy następnym podłączeniu do ładowarki przeprogramował ją (najlepiej po naładowaniu by już nie ciągnął prądu i sam nie oberwał).
      Gdy cel następnie do ładowania podłączy telefon “bezpieczny”, ładowarka puści go z dymem. Cel do czasu zakupu nowego telefonu “bezpiecznego” może być skazany na korzystanie z telefonu “brudnego” do zastosowań poważnych, a tutaj większa szansa na ominięcie zabezpieczeń.

      Chyba jednak obędzie się bez dostępu fizycznego?

  18. Nie umiem chińskiego, więc podstawowe pytanie: potrzebny jest specjalny programator czy zwykły host USB? Bo jak to drugie to niefajnie, że jakieś malware może zrobić pokaz fajerwerków.

  19. Mam pomysł na kolejny atak: zlośliwy switch upala karty sieciowe złośliwym PoE.
    Albo mocniejsze: malware, który zamienia w automatach kawę z mlekiem sojowym.
    ;)

    • Ale zamienia zwykłą na sojową, czy na odwrót? Bo to różne rodzaje okrucieństwa.

  20. Jak masz fizyczny dostęp do łAdowarki, to po co się bawić w podmianę softu, wystarczy podmienić dwa druciki i podłączyć 230 V AC bezpośrednio na piny D+/D- oraz ekran. Zadziała dużo skuteczniej na urządzenie oraz użytkownika.

  21. Feministki składają protest przeciw użyciu slowa “tapet”. Można pomysleć o czerwonej ławie o nazwie “tapeta”. Jak ministra, laptopa i komputera. No i tata.

  22. Fakt, że atak dość specjalistyczny, ale jak najbardziej może mieć sens.
    Można zhakować (lub podrzucić zhakowaną) ładowarkę gdzieś w openspace jakiegoś biura. Albo, żeby wywołać pożar, albo, żeby zaszkodzić koledze, który tam często ładuje itp.

    Można zrobić ogień w szkole. Bo klasówki nie będzie.

    Można zhakować ładowarkę w autobusie. Bo “autobusy konkurencji palą ludziom telefony, a nasze są OK, kupcie nasze autobusy”.

    Pewnie wymyślić można jeszcze sporo innych sposobów i powodów.

    Jasne, to nie są ataki masowe, ale jak najbardziej mogą mieć sens.

  23. Chylę czoła (“tapet”) – rzadko kiedy spotyka się w artykułach poprawną polszczyznę. Pozdrawiam!

  24. Za muze szacun
    Co do artykułu to taka sztuka dla sztuki. Chyba że podmienić na taką samą ładowarkę ale już po update

  25. WTF ? Kto normalny będzie w stanie przeczytać kitajskie daszko-robaczko-dachowko-cos tam?
    Uprade firmware ładowarki ? Czarno to widać,……podobnie jak kitajskie daszko -robaczko-costam…… Google translator umarł ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: