BadPower: Unsichere Firmwares von USB-Netzteilen ermöglichen Überladung

Mornsgrans

Help-Desk
Teammitglied
Registriert
20 Apr. 2007
Beiträge
71.891
Eben bei Heise entdeckt:
Zahlreiche USB-Ladegeräte mit Schnellladefunktion sind nicht ausreichend gegen Firmware-Attacken geschützt. Sie erlauben Modifikationen am Controller, um angeschlossene Endgeräte wie etwa Smartphones, Tablets oder Notebooks durch Überladung zu beschädigen.
...
... zum anderen soll BadPower laut den Sicherheitsforschern über ein Programm am Smartphone, Tablet oder PC funktionieren. Dazu wird das USB-Netzteil einmal angeschlossen und die Firmware überschrieben. Beim nächsten Ladevorgang liefert das Netzteil mehr Strom als vorgesehen.
...

Logisch dann auch die Empfehlung, keine Ladegeräte zu verleihen und selbst auszuleihen.
 
Das ist aber doch irgendwo auch ein unpraktisches Konzept... jahrzehntelang galt "das Netzteil liefert die Spannung, das Gerät zieht den Strom". Dass nun die Steuerung des Ladestroms im Gerät stattfindet und ein Gerät auch 5A ziehen kann, obwohl es nur für 1A ausgelegt ist, - also der Ladestrom nicht mehr im Gerät begrenzt wird - ist doch an sich ungünstig.

Dass es am Netzteil hängt, ob bei USB PD 5V, 9V oder 20V bereitgestellt werden, ist natürlich klar.
 
Das ist die moderne Technik der Schnellladegeräte. Du musst aber auch bedenken, worum es in dem Artikel geht, nämlich um fehlenden Schutz der Firmware gegen Manipulation.
 
Das ist klar! Aber beispielsweise ThinkPads (da beziehe ich mich jetzt auf die ohne USB Typ C) unterstützen ja mittlerweile auch Schnellladen, aber dort limitiert eben die Ladeelektronik den Strom. Dadurch entsteht die Gefahr einer manipulierten Firmware erst gar nicht.
 
Verstehe ich jetzt nicht so ganz, habe auch nimmer die Zeit das genauer zu lesen.
Es muss da explizit einer durch einen Hack auf die Firmeware und diese überschreiben oder reicht da ein Netzteil was manipuliert ist und das überschreibt dann alles?
 
Mit einem Tool via USB-Kabel die Firmware überschreiben/manipulieren.
zum anderen soll BadPower laut den Sicherheitsforschern über ein Programm am Smartphone, Tablet oder PC funktionieren. Dazu wird das USB-Netzteil einmal angeschlossen und die Firmware überschrieben.
 
Das ist heftig - ich verstehe nicht wirklich, warum sowas nicht einfach nicht veränderbar gemacht wird? Sprich dass es technisch unmöglich ist, die Firmware in irgend ner Form zu verändern. Hab zumindest noch nie was davon gehört, dass jemand nen Firmwareupdate auf nem USB-Ladegerät gemacht hätte.
 
Bei Autos nennt man sowas Chiptuning und dafür muß man richtig zahlen. Hier gibt es das umsonst.
 
Das ist aber doch irgendwo auch ein unpraktisches Konzept... jahrzehntelang galt "das Netzteil liefert die Spannung, das Gerät zieht den Strom". Dass nun die Steuerung des Ladestroms im Gerät stattfindet und ein Gerät auch 5A ziehen kann, obwohl es nur für 1A ausgelegt ist, - also der Ladestrom nicht mehr im Gerät begrenzt wird - ist doch an sich ungünstig.

Dem Artikel würde ich diesbezüglich nicht so 100%ig vertrauen. Die Ursache wird nicht, wie im Artikel beschrieben die zu hohe Leistung in Watt sein, sondern die zu hohe Spannung, die mit dem falsch gewählten Lademodus einhergeht. Siehe Bildunterschrift "Ein Endgerät mit USB-C-Ladeanschluss bekommt 20 statt 5 Volt und überhitzt somit."


Der Strom wird bei einer geregelten Spannungsquelle nun mal durch die Last vorgegeben. Das wird sich auch bei USB C nicht geändert haben, denke ich.



Was das tatsächliche Problem angeht: Ich sehe da jetzt wenig Gefahr. Ob man die Dinger hardwaremäßig falsch baut oder die Firmware falsch einstellt, das Potential dass bei einem Netzteil mit unterschiedlichen Spannungsschienen auf dem gleichen Steckverbinder mal die falsche Spannung rüber schickt ist immer gegeben. Eigentlich müsste man sämtliche USB C Anschlüsse einfach auf mind. 20V Spannungsfestigkeit auslegen und fertig ist die Sache.


-edit- Das Bild zeigt sogar eine USB Micro-B Buchse... bitte die "Fakten" aus dem Artikel nicht zu hoch bewerten...
 
Zuletzt bearbeitet:
So was macht doch eh keiner, zumindest keiner von dem man es nicht wissen würde wenn man sich es ausleiht.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben