Sreda, 22. 7. 2020, 4.00
4 leta, 5 mesecev
Ko boste hoteli privarčevati 10 evrov, pomislite na to sliko
Kupujete nov ali rezervni polnilni adapter za svoj pametni telefon? Pravkar ste dobili še en razlog, da ga kupite neposredno od proizvajalca, ne katerega od številnih prodajalcev na spletu, ki ga ponujajo za dvakrat ali trikrat nižjo ceno. Strokovnjaki za informacijsko varnost namreč svarijo, da je mogoče polnilce spremeniti v orožje.
Programsko kodo, ki polnilnim adapterjem pove, kako naj polnijo pametne telefone, je mogoče spremeniti tako, da se moč polnjenja poveča čez varno mejo.
S tem je mogoče uničiti pametni telefon, ki lahko izbruhne v plamene ali eksplodira, svarijo strokovnjaki za informacijsko varnost podjetja Xuanwu Labs, ki dela pod okriljem kitajskega tehnološkega giganta Tencent.
Takšen napad na polnilni adapter je izredno težko odkriti oziroma zaznati, v najslabšem primeru pa lahko previsoka moč polnjenja dobesedno stali pametni telefon.
Tveganje predstavljajo predvsem hitri polnilci
Na ranljivost, ki so jo poimenovali BadPower, so občutljivi predvsem polnilni adapterji, ki omogočajo hitro polnjenje. Takšni adapterji ob priklopu namreč komunicirajo s pametnim telefonom. Napravi se dogovorita, s kakšno močjo je še sprejemljivo polniti oziroma koliko elektrike lahko adapter pošilja v telefon, da ne bi ogrozil njegovega delovanja.
To komunikacijo je mogoče spremeniti z zamenjavo programske kode v polnilnem adapterju. To lahko nepridipravi za zdaj storijo s fizičnim dostopom do adapterja, ki ga priklopijo na prenosni računalnik, s katerim v nekaj sekundah nanj naložijo novo programsko kodo.
V teoriji je mogoče to storiti tudi prek pametnega telefona, ki bi ga uporabnik nevede okužil z zlonamernim programom, posebej zasnovanim za manipulacijo s polnilnimi adapterji.
Kitajski strokovnjaki priporočajo, naj polnilne adapterje kupujemo neposredno od proizvajalcev. Zaupanja vredni so tudi polnilci drugih proizvajalcev, ki imajo certifikate o (tehnični) ustreznosti, kot so CE, TÜV, CSA.
Velik delež adapterjev brez kakršnekoli zaščite
V Xuanwu Labs so ranljivost BadPower preizkusili na 35 od več kor 230 različnih tipov polnilnih adapterjev, ki jih je trenutno mogoče kupiti na spletu, in ugotovili, da jih je nanjo občutljiva več kot polovica (18 od 35).
Ne le to, enako število adapterjev ni omogočalo nadgradnje programske kode, kar pomeni, da uporabnik ne bi imel načina, da bi se ubranil pred napadom BadPower, če bi bila zlonamerna koda že od začetka naložena v polnilni adapter (če bi ga kupil od trgovca z nepoštenimi nameni, na primer).
Strokovnjaki za informacijsko varnost za zdaj še niso zaznali, da bi ranljivost BadPower kdorkoli že poskusil uporabiti za napad. Kljub temu uporabnike svarijo, naj polnilne adapterje kupujejo od zaupanja vrednih virov, najbolje kar neposredno od proizvajalcev, in ne od številnih spletnih prodajalcev samo zato, ker imajo nižje cene.
Opozorili so tudi na skrb za fizično varnost prenosnih elektronskih naprav, ki še vedno velja za ukrep številka ena za preprečevanje kraj ali zlorab.
Preberite tudi:
4