騰訊安全玄武實驗室推出快充安全測試服務

9月16日，在騰訊安全發起的快充安全行業交流會上，騰訊安全玄武實驗室正式推出面向快充行業的安全測試服務。這是實驗室首次公開向行業開放安全測試服務。

（圖為安克公司產品線總經理蕭昂、騰訊安全玄武實驗室負責人於暘、小米AIoT實驗室負責人孟卓共同啟動玄武快充測試釋出儀式）

7月中旬，騰訊安全玄武實驗室披露了一項快充領域的重大安全問題“BadPower”，攻擊者可透過改寫快充裝置的韌體控制充電行為，造成被充電裝置元器件燒燬，甚至更嚴重的後果。報告指出，受“BadPower”影響的終端裝置數量可能數以億計。

騰訊安全玄武實驗室於3月將該問題上報給國家主管機構CNVD，並引起了快充行業的高度重視。為了降低BadPower的影響，幫助快充行業提升安全性，玄武正式推出快充裝置安全檢測服務，該測試服務包含新裝置測試、衍生測試和再測試，快充裝置廠商可根據自身需要選擇測試形式和專案，在產品透過全部基線測試專案後，廠商將會獲得由玄武實驗室頒發的安全證書，而未透過測試的廠商則會收到玄武實驗室根據測試結果提供的安全修改建議。

“2015年我們報告了掃碼器裡存在的Badbarcode漏洞，有掃碼器廠商找過來找我們做檢測，做完之後廠商把我們實驗室的LOGO放到了他們官網上，表示他們的裝置經過了玄武的檢測，有更高的安全性。今年BadPower披露之後，也有不少快充相關廠商來尋求合作，我們意識到這是一個普遍存在的需求，於是決定把我們的檢測能力向行業開放。”騰訊安全玄武實驗室負責人於暘介紹道。

安克公司高階研發總監馮耀輝表示：“我們在裝置的硬體安全上做了很多措施，也有比較成熟的方案，但韌體層面帶來的安全問題對我們來說還是新的挑戰。這次也是因為玄武的研究我們才發現存在這型別安全問題，隨著裝置越來越智慧、互動介面更多，可以預見這種安全問題會越來越多。我們會和包括玄武實驗室在內的安全機構建立更多合作，提升我們裝置整體的安全水準。”

隨著數字化程式加速，越來越多裝置開始接入網路，但由於製造成本、安全意識等方面原因，很多裝置在生產製造時對於安全問題缺乏重視。2015年玄武實驗室發現的掃碼器的BadBarcode和2017年底發現的屏下指紋“殘跡重用”問題，都是晶片韌體層面的問題，其中BadBarcode問題發現時已經在行業裡存在了十幾二十年，大量的存量裝置讓這個安全問題的修復變得更復雜，過去五年中玄武也一直持續對此開展工作。“基於有以上兩個案例的經驗，我們這些年一直在呼籲安全前置，要從生產階段前置到設計階段，玄武實驗室一直在積極研究設計過程中引入的安全問題。”

隨著數字化的加速，數字世界和物理世界的邊界越來越模糊，資訊保安除了影響位元世界，也會帶來物理上的安全問題。5G、AI、工業網際網路、物聯網的發展讓這些安全問題更嚴峻，騰訊安全玄武實驗室也在針對這些新興技術領域展開安全研究，並在未來逐步將安全研究能力產品化，向行業開放，提升行業安全水平。