As tecnologias para carregamento rápido de dispositivos móveis estão progredindo cada vez mais rapidamente: várias empresas anunciaram recentemente soluções com capacidade de 100 a 125 W, capazes de carregar completamente um smartphone em algumas dezenas de minutos. No entanto, como se viu, nas mãos de hackers, o carregamento rápido pode se tornar uma arma física real.
Os especialistas em segurança cibernética do Tencent Security Xuanwu Lab publicaram um relatório segundo o qual os invasores podem obter controle sobre o carregador de uma parte significativa dos dispositivos de carregamento rápido. De acordo com as estimativas mais conservadoras, o número de dispositivos com essa vulnerabilidade chega a centenas de milhões e tudo o que recebe energia via USB agora pode ser vítima de um ataque. Eles chamaram esse fenômeno de BadPower (“energia ruim” na tradução literal do inglês). A Tencent acredita que o BadPower pode ser o maior ataque do mundo digital ao físico.
O Xuanwu Lab testou 35 adaptadores de energia, baterias externas e outros dispositivos que estão atualmente no mercado. Dezoito deles tiveram problemas de segurança que os hackers podem usar para iniciar o fornecimento de excesso de tensão a um smartphone, tablet ou laptop. Na melhor das hipóteses, isso levará à falha do equipamento, na pior das hipóteses – disparar e até prejudicar a saúde das pessoas próximas.
O método de hackear um carregador pode ser físico, ou seja, com acesso direto ao carregador usando um dispositivo especial ou remotamente através de um gadget comprometido conectado a ele. O último método é usado com mais frequência por cibercriminosos, principalmente porque 11 dos 18 dispositivos vulneráveis possibilitam o contato direto. Além disso, não há diferença de que tipo de tecnologia de carregamento rápido estamos falando. O importante é se, em princípio, é permitido substituir o microcódigo no chip do adaptador de energia via porta USB ou, pelo menos, se o firmware é verificado de forma confiável. Infelizmente, os resultados do estudo do Xuanwu Lab foram decepcionantes: cerca de 60% dos controladores usados em carregadores rápidos permitem que você atualize livremente o microcódigo pela porta USB.
A Tencent Security Xuanwu Lab já anunciou os resultados de sua pesquisa para organizações reguladoras relevantes na China e também está trabalhando com fabricantes de eletrônicos para tomar medidas para combater o BadPower. Os especialistas observam que, na maioria dos casos, para corrigir a vulnerabilidade, basta atualizar o firmware do carregador. Os usuários comuns são aconselhados mais uma vez a não emprestar seus smartphones, tablets ou laptops.