___

​​Мы всегда говорили, что стремление автоматизировать все, что только можно, до добра не доведет. Ибо чем больше степень автоматизации какого-либо процесса, тем больше в нем потенциальных уязвимостей, которыми могут воспользоваться злоумышленники. Китайские исследователи из команды Xuanwu Lab компании Tencent разработали новую атаку под названием BadPower, с помощью которой смогли менять напряжение на выходе быстрых зарядных устройств и, в некоторых случаях, поджечь заряжаемую технику. Быстрые зарядки обмениваются информацией с заряжаемым устройством и, при необходимости, способны поднять напряжение до нужных значений. Меняя прошивку быстрой зарядки ресерчеры смогли превысить максимально допустимое значение напряжения для конкретного заряжаемого устройства. То есть, к примеру, смартфон запрашивает у взломанной зарядки 5 В, а зарядка выдает ему 20 В. В ряде случаев для этого необходим физический доступ к зарядке, однако иногда перепрошивку можно сделать путем атаки с подключаемого к зарядке ноутбука или смартфона, который был предварительно взломан. Китайцы проанализировали 35 моделей быстрых зарядок и обнаружили, что 18 из них (от 8 поставщиков) уязвимы, 11 могут быть атакованы с предварительно скомпрометированного заряжаемого устройства. Иногда для исправления уязвимости достаточно обновить прошивку зарядного устройства. Но, как оказалось, 18 из 34 производителей чипов на этом рынке не предусмотрели возможность обновления программы, поэтому построенные на их основе быстрые зарядки невозможно исправить. Исследователи из Xuanwu Lab предлагают ряд защитных мер, в том числе микросхемы-предохранители или проверку поддерживающими быструю зарядку устройствами входного напряжения и тока, но очевидно, что все это уродливые костыли. Проще просто отказаться от быстрых зарядок.