新京报讯（记者 罗亦丹）7月15日，腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告。报告指出，市面上现行大量快充终端设备存在安全问题，攻击者可通过改写快充设备的固件控制充电行为，造成被充电设备元器件烧毁，甚至更严重的后果。保守估计，受“BadPower”影响的终端设备数量可能数以亿计。

7月16日，腾讯安全玄武实验室负责人于旸对新京报记者表示，恶意攻击者要想实现此类攻击，即可通过物理方式，如将攻击设备伪装成手机等，在不需要校验或者绕过校验的情况下改写其内部固件，从而控制充电行为；也可通过数码终端，即先入侵用户的手机、平板电脑、笔记本电脑等，并植入恶意代码，当这些终端连接快充设备充电时就会改写快充设备的固件，从而控制快充设备对所连接的受电设备进行功率过载攻击。

某受电设备遭BadPower攻击时芯片烧毁的情况。图片来源：腾讯安全玄武实验室

于旸表示，其总共调研了全球范围内234款支持快充技术的设备，并实际研究了其中35款，35款里18款存在问题。这18款设备涉及8个不同的设备品牌，涉及9款不同芯片。

而在这18款设备中，有11款设备可以通过数码终端进行无物理接触的攻击。

腾讯安全披露，“BadPower”攻击的原理是：恶意攻击者可利用特殊设备（物理攻击）或被入侵的数字终端改写快充设备的固件，从而控制充电行为。快充协议实现中存在的某些漏洞也可能被利用，例如对不支持快充技术的受电设备也提供快充技术所支持的高电压，或在协商出一个较低电压后实际提供较高的电压，从而导致受电设备功率过载。腾讯安全提供的图片显示，一款受电设备在遭受“BadPower”攻击后芯片烧毁。

贝壳财经记者注意到，目前数码产品的安全问题大多涉及数据安全、隐私泄露方面，但“BadPower”属于少数可以直接危及人身安全的问题。

在于旸看来，“BadPower”不是传统安全问题，不会导致数据隐私泄露，但会给用户造成实实在在的财产损失，甚至更糟糕的情况，“‘BadPower’再次提醒我们，随着信息技术的发展，数字世界和物理世界之间的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的安全可能会影响物理世界，但这些似乎距离大多数人比较遥远，而BadPower让我们意识到即使这种家家都有的不起眼的小东西也可能打破数字世界和物理世界之间的界限。”

于旸表示，腾讯玄武安全实验室已于今年3月将问题上报给国家主管机构CNVD，目前大部分BadPower问题可通过更新设备固件进行修复。

新京报记者 罗亦丹 编辑 王进雨 校对 李项玲