Peligro: así funciona BadPower la vulnerabilidad que incendia tu smartphone con el cargador

Esto sí que es una historia de terror en donde es posible vulnerar cualquier cargador de carga rápida para freír tu dispositivo, el cable y por consiguiente hasta el smartphone que se alimenta de él. A grandes razgos, así funciona la vulnerabilidad BadPower.

Este problema, revelado por los chicos del Xuanwu Lab de Tencent, hace posible modificar el firmware de los cargadores de carga rápida. Alterando sus parámetros tope y resistencia para permitir más flujo de energía del que resisten en realidad. El resultado final fatal.

Los primeros cargadores con interfaces USB solo pueden generar una pequeña cantidad de energía, y lleva varias horas cargar completamente el teléfono. La tecnología de carga rápida actual puede proporcionar al menos un voltaje máximo de 20V y una potencia de 100W. Los dispositivos de carga que admiten la tecnología de carga rápida pueden cargar teléfonos móviles en decenas de minutos e incluso pueden suministrar energía a dispositivos de mayor potencia, como computadoras portátiles y monitores de escritorio. Por lo tanto, la tecnología de carga rápida se ha convertido en un punto caliente en la industria en solo dos o tres años. Casi todos los productos digitales nuevos como teléfonos móviles, tabletas y computadoras portátiles admiten tecnología de carga rápida. También ha aparecido en el mercado una gran cantidad de cargadores, bancos de energía, cargadores de automóviles y otros productos que admiten tecnología de carga rápida.

Según detalla la investigación, BadPower es capaz de corromper cualquier cargador rápido, deteniendo de manera efectiva e inmediata el firmware de su chip con el que el dispositivo se cargaría a un voltaje específico.

De manera que si el cargador sólo resiste 5 voltios esta vulnerabilidad puede suministrar hasta 20 voltios para reventarlo. Así al sobrecargar un dispositivo con más voltaje del que puede aguantar el cargador se incendia, quemando todo el cargador, y por secuencia sobrecargando el smartphone.

Se probaron 35 modelos de cargadores rápidos de distintas compañías, y encontraron que 18 pueden ser intervenidos con esta vulnerabilidad.

El proceso de un ataque típico de BadPower iniciado por hardware especial es el siguiente:

  1. El atacante usó un dispositivo especial disfrazado de teléfono móvil para conectarse al puerto de carga del cargador para invadir el firmware interno del cargador.
  2. Cuando el usuario usa el cargador pirateado para cargar otros dispositivos, el cargador realizará un ataque de sobrecarga de energía en el dispositivo alimentado.

El proceso de un ataque típico de BadPower a través de un terminal ordinario es el siguiente

  1. El atacante invade el teléfono móvil, la computadora portátil y otros dispositivos terminales del usuario de alguna manera, e implanta programas maliciosos con capacidades de ataque BadPower en ellos, convirtiendo el dispositivo terminal en un agente de ataque de BadPower.
  2. Cuando el usuario conecta el dispositivo terminal al cargador, el programa malicioso en el dispositivo terminal invade el firmware interno del cargador.
  3. Cuando el usuario usa el cargador pirateado para cargar el dispositivo nuevamente, el cargador realizará un ataque de sobrecarga de energía en el dispositivo alimentado.

Por desgracia la lista exacta de marcas no fue revelada y para la prueba utilizaron un cableado de prueba para simular el escenario. Pero el peligro es real.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Ernesto Mota

Ernesto Mota

Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

También te podría gustar...