Badpower är sårbarhet hos snabbladdare som vrider spänningen i taket

Angripare kan modifiera laddar-firmware för att skada enheter utan snabbladdning, men risken att drabbas bedöms som liten.

USB har länge varit den givna anslutningen för laddning av småelektronik, och i begynnelsen var standardspänningen 5 volt fullt tillräcklig. Behovet av snabbare laddning för exempelvis telefoner har dock blivit tydligt, och tillverkare hänger villigt på trenden genom att inkludera varianter med högre kapacitet. Färska Oneplus Nord levereras exempelvis med stöd för snabbladdning på 30 watt, som delvis möjliggörs genom spänningshöjning.

I fallet Oneplus kallas snabbladdningstekniken för Warp Charge och olika tillverkare har olika namn, men under huven syns i regel samma funktion. Genom standarden USB Power Delivery (USB PD) kan laddare och enhet kommunicera för att höja spänningen ovan 5 volt och nivån bestäms efter den lägsta av de två delarnas kapacitet. Nu rapporterar säkerhetsforskare från kinesiska Tencent att den justerbara spänningen även kan utgöra en risk.

Forskarna har hittat en sårbarhet hos många snabbladdare, där angripare kan vrida upp spänningsreglaget till maximala 20 volt, oavsett om den anslutna enheten står pall för detta eller ej. Namnet på problemet har fått namnet Badpower och forskargruppen har upptäckt att 18 av de 35 testade snabbladdarna kan nyttjas för detta illvilliga ändamål. Laddarna kommer från åtta företag, men rapporten avslöjar inte oktetten.

Badpower har sin grund i att det för en relativt stor andel är möjligt att modifiera laddarens firmware genom USB-anslutningen, något som kan göras genom speciell utrustning eller i vissa fall direkt från en ansluten dator eller telefon. I de två sistnämnda fallen innebär det att angriparen kan infektera enheterna på mjukvaruväg, för att sedan ändra beteendet och sudda ut den säkra 5 volt-nivån.

Hur laddar du.jpg

Enligt en "Veckans fråga" från april använder 59 procent av de 3 767 SweClockers-medlemmarna snabbladdare till mobiltelefonen.

Tencent understryker att problemet kan elimineras genom att uppdatera firmware-versionen hos berörda snabbladdare, något som dock inte stöds av samtliga modeller. I en video tillhörande rapporten demonstreras effekten av Badpower för en pryl utan stöd för snabbladdning ansluts, där laddningskretsarna kort efter anslutning fattar eld och börjar ryka.

Säkerhetsutbildaren Karl Emil Nikka manar dock till lugn och menar att riskerna i praktiken är relativt små, särskilt i de fall när angriparen på förhand måste modifiera laddaren. Nikka understryker dock att det är bra att tillverkare får kännedom om problemet, men påminner om att det är desto viktigare att vara noggrann med att bara använda godkänd utrustning från erkända aktörer.

Elsäkerhetsverket har de senaste åren satt ett rejält koppel av laddare under lupp, för att upptäcka att en stor andel är felkonstruerade eller rentav livsfarliga. När myndigheten år 2018 tittade närmare på tio Wish-importerade modeller fick alla underkänt.

Källa: Zdnet

Använder du snabbladdare, och i sådana fall från vilket företag? Berätta i kommentarstråden!

I butiken: SweClockers Hardware Dreams

Surfar du SweClockers om nätterna? Drömmer du om nästa datorbygge? Denna midnattsblå t-shirt är specialdesignad för tvättäkta entusiaster som älskar datorer och hårdvara.

Köp här!