Une vulnérabilité découverte sur de nombreux chargeurs de smartphones

Une vulnérabilité découverte sur de nombreux chargeurs de smartphones

La harge rapide s'est largement répandue ces dernières années, et avec elle, l'essor des chargeurs "intelligents" capables de moduler la charge selon les appareils. Petit problème, intelligent ne veut pas nécessairement dire sécurisé.

connaissait le hack de smartphone, il faudra maintenant faire avec le hack de chargeur. Des spécialistes en sécurité chinois ont en effet découvert une vulnérabilité sur plusieurs blocs de charge rapide pour smartphone qui permet de créer des courts-circuits et potentiellement endommager les appareils qui y sont connectés.

L’idée est assez simple, les chargeurs rapides ont la capacité de délivrer plusieurs niveaux de puissance. Lors de la connexion avec un smartphone, le chargeur et l’appareil "négocient", en quelque sorte, la puissance la plus adaptée à la charge. Ce petit bout de logiciel peut malheureusement être modifié pour provoquer des surcharges. Quand on sait que certains chargeurs peuvent grimper jusqu’à 65 watts, les dégâts peuvent être sérieux.

Infection directe ou par smartphone

Sur 35 chargeurs testés, 18 venant de huit constructeurs différents se sont avérés vulnérables à ce problème. La bonne nouvelle, c’est qu’il suffit d’une mise à jour du firmware pour éviter ce désagrément. La mauvaise, c’est qu’une bonne partie des chargeurs vulnérables n’embarquent pas de moyens de mettre à jour le logiciel embarqué.

La vulnérabilité peut être exploitée de deux manières différentes. Soit en ayant un accès direct au chargeur pour modifier le logiciel soit, et c’est plus gênant, via un smartphone ou une tablette infectés qui, une fois connecté.e, va transmettre le code malicieux au chargeur qui provoquera ensuite la surcharge. Dans ces conditions, difficile d’être certain de la sûreté d'un chargeur.

Capable de mettre un smartphone HS

La vulnérabilité ayant tendance à endommager physiquement les smartphones et les tablettes visées, elle n’est utile qu’aux personnes mal intentionnées voulant mettre hors d’état de nuire un appareil dans la nature. On est loin des attaques du type logiciel de rançon qui vous demande de payer pour récupérer l’accès à vos données, par exemple.

Commentaires