9 月 16 日�����,在騰訊安全發(fā)起的快充安全行業(yè)交流會上�����,騰訊安全玄武實驗室正式推出面向快充行業(yè)的安全測試服務(wù)�����。這是實驗室首次公開向行業(yè)開放安全測試服務(wù)���。
7 月中旬,騰訊安全玄武實驗室披露了一項快充領(lǐng)域的重大安全問題“BadPower”,攻擊者可通過改寫快充設(shè)備的固件控制充電行為�����,造成被充電設(shè)備元器件燒毀�����,甚至更嚴(yán)重的后果���。報告指出���,受“BadPower”影響的終端設(shè)備數(shù)量可能數(shù)以億計。
騰訊安全玄武實驗室于 3 月將該問題上報給國家主管機(jī)構(gòu) CNVD��,并引起了快充行業(yè)的高度重視�。為了降低 BadPower 的影響,幫助快充行業(yè)提升安全性�����,玄武正式推出快充設(shè)備安全檢測服務(wù)����,該測試服務(wù)包含新設(shè)備測試�����、衍生測試和再測試�����,快充設(shè)備廠商可根據(jù)自身需要選擇測試形式和項目���,在產(chǎn)品通過全部基線測試項目后,廠商將會獲得由玄武實驗室頒發(fā)的安全證書����,而未通過測試的廠商則會收到玄武實驗室根據(jù)測試結(jié)果提供的安全修改建議。
“2015 年我們報告了掃碼器里存在的 Badbarcode 漏洞�����,有掃碼器廠商找過來找我們做檢測��,做完之后廠商把我們實驗室的 LOGO 放到了他們官網(wǎng)上�,表示他們的設(shè)備經(jīng)過了玄武的檢測,有更高的安全性���。今年 BadPower 披露之后�,也有不少快充相關(guān)廠商來尋求合作,我們意識到這是一個普遍存在的需求����,于是決定把我們的檢測能力向行業(yè)開放�����。”騰訊安全玄武實驗室負(fù)責(zé)人于旸介紹道�。
安克公司高級研發(fā)總監(jiān)馮耀輝表示:“我們在設(shè)備的硬件安全上做了很多措施,也有比較成熟的方案����,但固件層面帶來的安全問題對我們來說還是新的挑戰(zhàn)。這次也是因為玄武的研究我們才發(fā)現(xiàn)存在這類型安全問題�����,隨著設(shè)備越來越智能�����、交互界面更多�����,可以預(yù)見這種安全問題會越來越多。我們會和包括玄武實驗室在內(nèi)的安全機(jī)構(gòu)建立更多合作�����,提升我們設(shè)備整體的安全水準(zhǔn)���。”
隨著數(shù)字化進(jìn)程加速����,越來越多設(shè)備開始接入網(wǎng)絡(luò)��,但由于制造成本��、安全意識等方面原因�����,很多設(shè)備在生產(chǎn)制造時對于安全問題缺乏重視�����。2015 年玄武實驗室發(fā)現(xiàn)的掃碼器的 BadBarcode 和 2017 年底發(fā)現(xiàn)的屏下指紋“殘跡重用”問題�,都是芯片固件層面的問題,其中 BadBarcode 問題發(fā)現(xiàn)時已經(jīng)在行業(yè)里存在了十幾二十年��,大量的存量設(shè)備讓這個安全問題的修復(fù)變得更復(fù)雜,過去五年中玄武也一直持續(xù)對此開展工作���。“基于有以上兩個案例的經(jīng)驗���,我們這些年一直在呼吁安全前置,要從生產(chǎn)階段前置到設(shè)計階段�����,玄武實驗室一直在積極研究設(shè)計過程中引入的安全問題����。”
隨著數(shù)字化的加速����,數(shù)字世界和物理世界的邊界越來越模糊,信息安全除了影響比特世界��,也會帶來物理上的安全問題���。5G�、AI�����、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展讓這些安全問題更嚴(yán)峻���,騰訊安全玄武實驗室也在針對這些新興技術(shù)領(lǐng)域展開安全研究����,并在未來逐步將安全研究能力產(chǎn)品化����,向行業(yè)開放,提升行業(yè)安全水平����。
(邯鄲做小程序)
