【USB】脆弱性「BadPower」報告　スマホ・PCからACアダプタのファームウェア改変し高電圧印加　最悪スマホが発火

1 : 2020/07/21(火) 11:54:19.68 ID:ih3ukTvn9: 中国テンセントのセキュリティ研究部門Xuanwu Labが、USB急速充電器のファームウェアを改変して被充電デバイスの内部回路を焼損させ、最悪は発火させることが可能になる問題を報告しています。

BadPowerと名付けられたこの手法は、過去数年間に発売された高出力なUSB急速充電器の内部ファームウェアが接続されたデバイスと通信して適切な充電電圧や電流を選択しているのを逆手に取り、接続したスマートフォンやノートPCから改変コードを上書きすることで、接続先のデバイスが耐えられない高電圧を供給させてしまいます。

具体的に言えば、改変された充電器を知らずに使った場合、充電しようと接続したスマートフォンやタブレット、ノートPCなどが突然火を噴く可能性があるということです。最近では100Wを超す高出力なUSB急速充電器も開発されているため、こうした攻撃が実際に起これば、非常に危険な結果になる可能性があります。

Xuanwu Labのチームは、市販されている35種類の急速充電器でBadPower攻撃を試してみたところ、8社18機種で攻撃が可能だったことを確認したと報告しました。また市場に出ている急速充電器の充電処理を司るチップを調査したところ、全体の60%近くが、USB端子経由でファームウェアを書き換えられるようになっていたと報告しました。

幸いなことに、もし充電器に改変ファームウェアを入れられてしまった場合でも、ベンダーがリリースしているファームウェアアップデートを適用すれば修正は可能です。ただし、一部製品のベンダーはファームウェアの更新を提供しておらず、この場合はユーザーは充電器を処分する以外に対応策はなさそうです。Xuanwu Labは充電器のファームウェアコードの更新におけるセキュリティ検証の仕組みを導入するよう呼びかけています。

この問題はセキュリティ研究者が発見したもので、悪用された事例の報告があったわけではありません。とはいえたかが充電器といえども、高出力かつ高機能な製品は、信頼できるメーカーのものを選ぶほうが良さそうです。

https://japanese.engadget.com/badpower-attack-quick-charge-vulnerability-073012810.html
3 : 2020/07/21(火) 11:55:30.94 ID:pCu1er6u0: まーたサムチョン製のスマホかよ
4 : 2020/07/21(火) 11:57:38.74 ID:sPvMgWBx0: >>3
閃いたニダ！
5 : 2020/07/21(火) 11:57:43.07 ID:5P1/aug/0: だろうな
PD規格が性善説で作られてるし
9 : 2020/07/21(火) 12:03:37.29 ID:xIHKkz+v0: >>5
そうか、つまり欠陥規格なのか。
こんな事も考えなくちゃならんのな。
19 : 2020/07/21(火) 12:09:06.80 ID:4+YpRLqp0: >>9
欠陥規格ではないよ

流していい電流電圧を充電器とデバイスで通信して決定するから通信することは必要
ファームの書き換えが出来てしまうことが問題、つまり充電器の問題
6 : 2020/07/21(火) 11:58:35.57 ID:jOK/+AkZ0: 恐怖の電話

また怪奇大作戦に出てきそうな手口を
7 : 2020/07/21(火) 12:02:55.83 ID:E2mf+OI40: >>1
改変ファーム入れる手法ってどんなだ方法だ？
買うとき気を付けてればいいのか？
12 : 2020/07/21(火) 12:04:52.37 ID:xIHKkz+v0: >>7
接続されたデバイスと書いてあるじゃん。
13 : 2020/07/21(火) 12:05:09.22 ID:i5mpqFqk0: >>7
そもそもファームウェアの書き込みをUSBでしてるんだろ
16 : 2020/07/21(火) 12:06:13.93 ID:4+YpRLqp0: >>7
PCスマホからって書いてあるがな

具体的にはマルウェアに感染したPCスマホから
25 : 2020/07/21(火) 12:13:07.70 ID:E2mf+OI40: >>16他
こわいなそれわ
どうしたらいいか

LEDライトや扇風機みたいな小物のは大丈夫なんだな
8 : 2020/07/21(火) 12:03:06.23 ID:vCtHqkNb0: それって60%のファームがどこかのコピペってことか？
日本のブランドがついてても中身は中国からの調達だろうから怖いな。
18 : 2020/07/21(火) 12:08:48.62 ID:gc0R3s5J0: >>8
むしろ日本製ファームならちゃんとUSBのセキュリティ対策してるのか？
22 : 2020/07/21(火) 12:11:48.77 ID:vCtHqkNb0: >>18
独自のファームなら書き換える方も個別に対応が要るでしょ。
ひとつのファームで大きな被害をﾀ出せるならそっちをやるでしょ、悪い奴らは。
10 : 2020/07/21(火) 12:03:47.74 ID:3OFCqG4i0: 昔の映画にあったハッカーによる物理攻撃が実現しとんな
11 : 2020/07/21(火) 12:03:52.87 ID:JtksG7r00: スマホを充電するのも命がけだな
まだまだガラケーでいいや
14 : 2020/07/21(火) 12:05:29.80 ID:UG4utWdr0: これ中国企業が造ったウィルスだから中国企業がバレる前に発表だろ
15 : 2020/07/21(火) 12:05:48.72 ID:muBto+Tz0: ACアダプタのファームウェア？？？？？？
17 : 2020/07/21(火) 12:06:28.14 ID:3OFCqG4i0: しかし充電器にファームウェアが必要な時代ってのも凄いな
20 : 2020/07/21(火) 12:10:01.39 ID:2OnkW+LS0: あらかじめ支配しておいたデバイスで大地震直後に一斉起爆かな。
開戦直後、あるいはその脅しとしても使えそう。
21 : 2020/07/21(火) 12:11:02.96 ID:2OnkW+LS0: 将来的に電気自動車で同じこと起きたら大惨事だなぁ
23 : 2020/07/21(火) 12:11:55.93 ID:icxJ3Iz70: 中華スマホ使ってSNSで中国批判するとスマホが誤作動するようになるね。システムファームウェアが更新されて情報筒抜けになるから気をつけて。
もしかするとシステムファームウェアでバッテリー発火するように細工される恐れもある。中華スマホは安くて性能もいいけど焼き殺されることを覚悟したほうがいい。
24 : 2020/07/21(火) 12:12:12.90 ID:v5emRMdOO: 便利にし過ぎるのもよし悪しやん
26 : 2020/07/21(火) 12:16:17.80 ID:1LHG86UL0: GTA5のレスターみたいなことがマジで出来ちゃうのか
27 : 2020/07/21(火) 12:17:28.76 ID:fUzMchYD0: この手のニュースで身近な意識としては、現状出回ってる急速充電器の中古は買ってはいけないってことな。
29 : 2020/07/21(火) 12:23:34.28 ID:vCtHqkNb0: >>27
USBメモリのファームも改編して悪いこと出来るから中古は止めとけ
28 : 2020/07/21(火) 12:22:46.81 ID:b8T86XEb0: usbみたいな細い線4本に100VAとか言ってる時点で正気の沙汰では無い
30 : 2020/07/21(火) 12:25:47.19 ID:9giiABpL0: 普通にUSB線をAC直結すればそんな面倒なく焼けるでしょ
31 : 2020/07/21(火) 12:26:02.24 ID:3u0pMnCu0: スマホは分かるがPCを急速充電器に接続する事は無い
32 : 2020/07/21(火) 12:26:26.74 ID:WpH9lSwH0: つまり大容量リチウムイオンバッテリーのあるスマホを
スマホ本体をいじることなく強力な爆弾に出来る
アダプタも焼き尽くせば証拠も見つけるのが困難