BadPower ช่องโหว่ในอะแดปเตอร์แบบชาร์จเร็ว ที่ทำให้มือถือคุณระเบิดได้

เมื่อ :
ผู้เข้าชม : 1,300
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 1,300
เขียนโดย :

นักวิจัยด้านความปลอดภัยชาวจีนจากบริษัท Tencent Security Labs ค้นพบ BadPower ช่องโหว่ในเฟิร์มแวร์ของอะแดปเตอร์แบบชาร์จเร็ว ที่สามารถใช้สร้างความเสียหายให้กับอะไรก็ตามที่ถูกเสียบเพื่อชาร์จแบตเตอรี่

ยังจำการระเบิดของ Galaxy Note 7 ได้หรือเปล่า ช่องโหว่ BadPower เป็นการทำสิ่งนั้นกับสมาร์ทโฟนทุกเครื่องนั่นเอง ทำให้ช่องโหว่นี้มีอันตรายค่อนข้างรุนแรงมาก อาจเป็นสาเหตุให้เกิดอัคคีภัยได้เลย

ช่องโหว่ BadDPower เกิดจากการอาศัยประโยชน์ของเฟิร์มแวร์ที่อยู่ในอะแดปเตอร์แบบชาร์จเร็ว คือ เทคโนโลยีแบบชาร์จเร็ว เวลาจะทำงานมันจะต้องมีการสื่อสารระหว่างอุปกรณ์ที่ชาร์จ กับตัวอะแดปเตอร์กันก่อนที่จะเริ่มจ่ายไฟ เพราะที่ชาร์จจำเป็นต้องรู้ข้อมูลของอุปกรณ์ที่ถูกชาร์จก่อน เป็นต้นว่า อุปกรณ์มีแบตเตอรี่เหลืออยู่เท่าไหร่, อุณหภูมิในขณะนี้กี่องศา, วงจรชาร์จแบตเตอรี่ต้องการแรงดันไฟเท่าไหร่

ซึ่งขั้นตอนทั้งหมดที่กล่าวมาข้างต้นเกิดขึ้นได้ เพราะความจริงแล้วอะแดปเตอร์แบบชาร์จไวนี้จัดเป็นอุปกรณ์ประเภท Smart deviceมีไมโครโปรเซสเซอร์ และเฟิร์มแวร์อยู่ด้วย โดยเฟิร์มแวร์จะเป็นโค้ดขนาดเล็กที่ถูกเก็บเอาไว้ในหน่วยความจำของอะแดปเตอร์ ปัญหาก็คือ เฟิร์มแวร์เหล่านั้นถูกละเลยด้านความปลอดภัย สามารถถูกแฮกเข้าไปแก้ไขได้อย่างง่ายดาย

จากการทดสอบอะแดปเตอร์ 35 รุ่น จากผู้ผลิตหลายราย ทาง Tencent Security Labs พบว่ามีอะแดปเตอร์ถึง 18 รุ่น จากผู้ผลิตจำนวน 8 ราย ที่มีปัญหาด้านความปลอดภัย โดยนักวิจัยสามารถอัปเดตเฟิร์มแวร์อย่างง่ายดายผ่านทางพอร์ต USB ที่ใช้เชื่อมต่อกับสมาร์ทโฟน โดยใช้สมาร์ทโฟน หรือคอมพิวเตอร์ ซึ่งได้มีการสาธิตแฮกเฟิร์มแวร์ให้จ่ายไฟในแรงดันที่สูงเกินกว่าปกติ เพื่อทำลายสมาร์ทโฟน สามารถรับชมได้จากคลิปวิดีโอด้านล่างนี้เลย

ทั้งนี้ ทาง Tencent ไม่เปิดเผยรายละเอียดว่าอะแดปเตอร์รุ่นไหน ยี่ห้อใดบ้าง ที่มีปัญหาช่องโหว่ BadPower แต่ก็ได้มีการให้คำแนะนำว่า ทางผู้ผลิตควรปิดไม่ให้อะแดปเตอร์สามารถอัปเดตเฟิร์มแวร์ได้ หรือกำหนดให้อัปเดตได้เฉพาะเฟิร์มแวร์ที่มาจากทางผู้ผลิตโดยตรงเท่านั้น แล้วก็มีการแจ้งไปยังผู้ผลิตให้ทำการแก้ไขแล้ว ข่าวดีก็คือ ช่องโหว่นี้สามารถอัปเดตเพื่อแก้ไขได้ง่ายผ่านทางสมาร์ทโฟนเลย ก็ขึ้นอยู่กับทางผู้ผลิตแล้วล่ะว่าเขาจะอัปเดตให้เราหรือเปล่า

ต้นฉบับ :