Attenzione ai caricabatterie per smartphone presi in prestito dagli sconosciuti: potrebbero essere stati infettati con un malware che fa loro sovraccaricare i dispositivi collegati fino a danneggiarli o addirittura mandarli in fiamme. L'allarme arriva dai ricercatori di Tencent, che hanno scoperto una vulnerabilità software negli accessori capaci sfruttare le tecnologie di ricarica rapida ormai presenti su molti smartphone. L'attacco dimostrativo realizzato per illustrare i rischi della falla di sicurezza indivisuata è stato battezzato BadPower, e colpisce almeno 18 modelli di caricatori rapidi realizzati da 8 aziende diverse.

Come funziona la ricarica rapida

I sistemi di ricarica rapida negli smartphone moderni hanno nomi diversi ma funzionano tutti nello stesso modo. Il telefono comunica costantemente con il caricabatterie per istruirlo sulle modalità con le quali deve erogare la corrente, e quest'ultimo esegue le istruzioni in modo da offrire all'accumulatore dello smartphone tutta l'energia che desidera e che può sostenere, senza dunque danneggiarlo. I caricatori rapidi in effetti non sono semplici convertitori di corrente: all'interno ospitano un piccolo chip con poche righe di codice software che permettono loro di dialogare con i telefoni collegati attraverso il cavo USB. È proprio questa la componente vulnerabile dei dispositivi, attaccando la quale è possibile modificare il comportamento dei caricatori.

L'attacco hacker ai caricatori rapidi

I ricercatori sono riusciti a riscrivere le righe di codice memorizzate nei chip nascosti nei caricatori in una procedura relativamente semplice da portare a termine. Basta dotare uno smartphone o un computer di un'apposita app realizzata per l'occasione e collegarli al caricatore tramite un qualsiasi cavo USB; il malware risale lo stesso canale dal quale normalmente viene erogata la corrente elettrica, si insinua nel processore di controllo del caricabatterie e ne pregiudica il funzionamento. Se l'attacco va a buon fine, l'accessorio inizia a distribuire corrente a tutta potenza ignorando le richieste dei dispositivi collegati e finendo con il danneggiarne i circuiti o le batterie; queste ultime potrebbero arrivare alla combustione o perfino a esplodere.

Attenzione anche alle app

Tencent non ha fatto i nomi delle aziende toccate dal problema, motivo per cui è prudente immaginare che la vicenda riguardi tutte le più note. Inoltre, dal momento che un simile attacco si può diffondere a partire da qualunque dispositivo USB, è possibile propagarlo attraverso un comune malware per smartphone: un'app infetta da un simile malware potrebbe non dare alcun problema al telefono che la installa, ma potrebbe aspettare di trovare un caricabatterie collegato per danneggiare quest'ultimo, che poi penserà a sovraccaricare gli smartphone collegati da quel momento in poi.

Per rimanere al riparo da BadPower occorre dunque diffidare di qualunque caricabatterie con tecnologia di ricarica rapida del quale non si conosca la provenienza. Per evitare invece che sia il proprio smartphone a diffondere l'infezione, la strada più sicura è evitare di scaricare e installare app sospette o provenienti da fonti esterne agli store di app ufficiali.