騰訊安全玄武實驗室推出快充安全測試服務

9月16日，在騰訊安全發起的快充安全行業交流會上，騰訊安全玄武實驗室正式推出面向快充行業的安全測試服務。這是實驗室首次公開向行業開放安全測試服務。

（圖爲安克公司產品線總經理蕭昂、騰訊安全玄武實驗室負責人於暘、小米AIoT實驗室負責人孟卓共同啓動玄武快充測試發佈儀式）

7月中旬，騰訊安全玄武實驗室披露了一項快充領域的重大安全問題「BadPower」，攻擊者可經過改寫快充設備的固件控制充電行爲，形成被充電設備元器件燒燬，甚至更嚴重的後果。報告指出，受「BadPower」影響的終端設備數量可能數以億計。

騰訊安全玄武實驗室於3月將該問題上報給國家主管機構CNVD，並引發了快充行業的高度重視。爲了下降BadPower的影響，幫助快充行業提高安全性，玄武正式推出快充設備安全檢測服務，該測試服務包含新設備測試、衍生測試和再測試，快充設備廠商可根據自身須要選擇測試形式和項目，在產品經過所有基線測試項目後，廠商將會得到由玄武實驗室頒發的安全證書，而未經過測試的廠商則會收到玄武實驗室根據測試結果提供的安全修改建議。

「2015年咱們報告了掃碼器裏存在的Badbarcode漏洞，有掃碼器廠商找過來找咱們作檢測，作完以後廠商把咱們實驗室的LOGO放到了他們官網上，表示他們的設備通過了玄武的檢測，有更高的安全性。今年BadPower披露以後，也有很多快充相關廠商來尋求合做，咱們意識到這是一個廣泛存在的需求，因而決定把咱們的檢測能力向行業開放。」騰訊安全玄武實驗室負責人於暘介紹道。

安克公司高級研發總監馮耀輝表示：「咱們在設備的硬件安全上作了不少措施，也有比較成熟的方案，但固件層面帶來的安全問題對咱們來講仍是新的挑戰。此次也是由於玄武的研究咱們才發現存在這類型安全問題，隨着設備愈來愈智能、交互界面更多，能夠預見這種安全問題會愈來愈多。咱們會和包括玄武實驗室在內的安全機構創建更多合做，提高咱們設備總體的安全水準。」

隨着數字化進程加速，愈來愈多設備開始接入網絡，但因爲制形成本、安全意識等方面緣由，不少設備在生產製造時對於安全問題缺少重視。2015年玄武實驗室發現的掃碼器的BadBarcode和2017年末發現的屏下指紋「殘跡重用」問題，都是芯片固件層面的問題，其中BadBarcode問題發現時已經在行業裏存在了十幾二十年，大量的存量設備讓這個安全問題的修復變得更復雜，過去五年中玄武也一直持續對此開展工做。「基於有以上兩個案例的經驗，咱們這些年一直在呼籲安全前置，要從生產階段前置到設計階段，玄武實驗室一直在積極研究設計過程當中引入的安全問題。」

隨着數字化的加速，數字世界和物理世界的邊界愈來愈模糊，信息安全除了影響比特世界，也會帶來物理上的安全問題。5G、AI、工業互聯網、物聯網的發展讓這些安全問題更嚴峻，騰訊安全玄武實驗室也在針對這些新興技術領域展開安全研究，並在將來逐步將安全研究能力產品化，向行業開放，提高行業安全水平。

附：如您須要快充安全檢測服務，請聯繫xlab@tencent.com。