BadPower, l'attaque qui peut affecter la charge rapide de votre smartphone et lui faire prendre feu

Nathan Le Gohlisse
Spécialiste Hardware
23 juillet 2020 à 14h32
0
© Tencent via ZDNet

Altérer le firmware des chargeurs rapides pour griller les composants des appareils qu'ils rechargent… voire carrément les faire s'enflammer. C'est ce que peut permettre un nouveau type d'attaque découvert par des chercheurs en sécurité rattachés au géant chinois Tencent.

Faire brûler à distance des appareils raccordés à un simple chargeur rapide, la perspective pourrait être alléchante pour des hackers. Heureusement, cette nouvelle technique d'attaque a été découverte et rendue publique par Xuanwu Lab, une unité de recherche en sécurité du géant chinois Tencent. Baptisé BadPower, cette méthode fonctionne en altérant le firmware intégré aux chargeurs rapides.

Le firmware des chargeurs rapides mis en cause

Véritable talon d'Achille, c'est ce morceau de programme qui permet, notamment, aux chargeurs rapides de communiquer avec les appareils auxquels ils sont connectés pour déterminer quelle vitesse de recharge est la plus adaptée, en fonction des capacités de chaque appareil et surtout de sa batterie.

Comme le rappelle ZDNet, si la charge rapide n'est pas supportée par le produit en question, c'est une charge de 5 V seulement qui s'opère. Si l'appareil est au contraire compatible, il sera possible de monter entre 12 V et 20 V, voire plus, en fonction des smartphones, des chargeurs et des technologies propriétaires employées.

C'est en tronquant ce système adaptatif que BadPower peut de déclencher une surcharge. L'idée est alors de donner le feu vert à une tension que l'appareil branché n'est pas en mesure de supporter. La suite est simple : les composants grillent et/ou se consument en fonction de la tension appliquée…

Une démonstration vidéo de l'attaque est disponible sur le site du Xuanwu Lab de Tencent (en chinois).

35 chargeurs rapides testés, 18 sont vulnérables

Attaque silencieuse par nature, la méthode BadPower permet au pirate d'agir discrètement et surtout rapidement puisqu'il lui faut seulement se connecter au chargeur rapide ciblé, lancer l'attaque, attendre quelques secondes et partir en ayant modifié le firmware.

ZDNet explique par ailleurs que certains types de chargeurs ne nécessitent aucun équipement particulier pour être piratés. Le code permettant la modification du firmware peut atteindre l'objet en ayant préalablement été chargé sur un smartphone ou un ordinateur portable. Connecter un téléphone ou un PC portable infecté à son chargeur permet ensuite au pirate d'en prendre possession et d'appliquer les tensions qu'il veut.

Sur 35 chargeurs rapides testés par Xuanwu Lab, 18 d'entre eux (provenant de huit constructeurs différents) étaient vulnérables à BadPower. En tout, 234 modèles de chargeurs rapides existent sur le marché, rapporte l'étude.

Reste que si la solution au problème peut paraître simple, puisqu'il suffit de mettre à jour le firmware du chargeur suspect pour annuler les effets d'un possible piratage, cette mise à jour du firmware n'est justement pas possible sur l'ensemble des chargeurs rapides testés par Xuanwu Lab.

Le groupe a néanmoins annoncé avoir prévenu l'ensemble des constructeurs de chargeurs rapides… ce qui permettra, on l'espère, de faire évoluer les choses.

Source : ZDNet

Modifié le 23/07/2020 à 15h48
6
6
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
Donald Trump sanctionné par Twitter et Facebook, pour une vidéo qualifiée de
scroll top