據(jù)BleepingComputer消息，佛羅里達(dá)大學(xué)和 CertiK的一項(xiàng)學(xué)術(shù)研究表明，名為“VoltSchemer”的新攻擊利用電磁干擾，不僅可以讓現(xiàn)成的無(wú)線(xiàn)充電器操縱智能手機(jī)的語(yǔ)音助手，還能夠?qū)υO(shè)備以高熱的形式進(jìn)行物理破壞。

這種近乎有些科幻的方式被研究人員描述為一種利用電磁干擾來(lái)操縱充電器行為的攻擊。為了演示這種攻擊，研究人員對(duì)全球九種最暢銷(xiāo)的無(wú)線(xiàn)充電器進(jìn)行了測(cè)試，突顯了這些產(chǎn)品的安全性差距。

測(cè)試產(chǎn)品 (arxiv.org)

是什么讓攻擊成為可能

無(wú)線(xiàn)充電通常依靠電磁感應(yīng)原理，利用電磁場(chǎng)在兩個(gè)物體之間傳輸能量。充電器包含一個(gè)發(fā)射器線(xiàn)圈，交流電流經(jīng)其中以產(chǎn)生振蕩磁場(chǎng)，智能手機(jī)包含一個(gè)接收器線(xiàn)圈，可捕獲磁場(chǎng)能量并將其轉(zhuǎn)換為電能為電池充電。

無(wú)線(xiàn)充電系統(tǒng)原理 (arxiv.org)

而攻擊者可以操縱充電器輸入端提供的電壓，并微調(diào)電壓波動(dòng)（噪聲），以產(chǎn)生干擾信號(hào)，從而改變所生成磁場(chǎng)的特性。電壓操縱可以通過(guò)插入設(shè)備來(lái)引入，不需要對(duì)充電器進(jìn)行物理修改或?qū)χ悄苁謾C(jī)設(shè)備進(jìn)行軟件感染。

研究人員表示，這種噪聲信號(hào)會(huì)干擾充電器和智能手機(jī)之間的常規(guī)數(shù)據(jù)交換，二者都使用管理充電過(guò)程的微控制器，從而能夠扭曲電源信號(hào)并破壞高精度傳輸?shù)臄?shù)據(jù)。從本質(zhì)上講，VoltSchemer 利用了無(wú)線(xiàn)充電系統(tǒng)硬件設(shè)計(jì)和管理其通信的協(xié)議中的安全缺陷。

這為 VoltSchemer 攻擊開(kāi)辟了至少三種潛在攻擊途徑，包括過(guò)熱/過(guò)度充電、繞過(guò) Qi 安全標(biāo)準(zhǔn)以及在充電智能手機(jī)上注入語(yǔ)音命令。

VoltSchemer 攻擊概述 (arxiv.org)

控制語(yǔ)音助手

這類(lèi)攻擊是向 iOS (Siri) 和安卓 (Google Assistant) 上的助手發(fā)送聽(tīng)不見(jiàn)的語(yǔ)音命令。研究人員已經(jīng)證明，可以通過(guò)在充電站范圍內(nèi)傳輸?shù)脑肼曅盘?hào)注入一系列語(yǔ)音命令，實(shí)現(xiàn)呼叫發(fā)起、瀏覽網(wǎng)站或啟動(dòng)應(yīng)用程序。

然而，這種攻擊具有局限性，攻擊者首先必須記錄目標(biāo)的激活命令，然后添加到電源適配器的輸出語(yǔ)音信號(hào)中。其中在 10kHz 以下的頻段中包含最重要的信息。

研究人員解釋說(shuō)：“當(dāng)將語(yǔ)音信號(hào)添加到電源適配器的輸出電壓時(shí)，它可以以有限的衰減和失真來(lái)調(diào)制 TX 線(xiàn)圈上的電源信號(hào)。最近的一項(xiàng)研究表明，通過(guò)磁耦合，AM 調(diào)制磁場(chǎng)會(huì)在現(xiàn)代智能手機(jī)的麥克風(fēng)電路中產(chǎn)生磁感聲音 (MIS)?！?/p>

引入惡意電壓波動(dòng)的插入設(shè)備可能偽裝成任何合法配件，通過(guò)各種方式分發(fā)，例如促銷(xiāo)贈(zèng)品、二手產(chǎn)品等。

加熱并“引爆手機(jī)”

智能手機(jī)的設(shè)計(jì)是在電池充滿(mǎn)后停止充電，以防止過(guò)度充電，并與充電器進(jìn)行通信以減少或切斷電力輸送。VoltSchemer 引入的噪聲信號(hào)會(huì)干擾這種通信，使電力輸送保持在最大狀態(tài)，并導(dǎo)致智能手機(jī)過(guò)度充電和過(guò)熱，從而帶來(lái)重大的安全隱患。

測(cè)試充電器的操作范圍 (arxiv.org)

研究人員使用三星 Galaxy S8手機(jī)進(jìn)行了實(shí)驗(yàn)，在注入CE包增加功率后，手機(jī)溫度迅速升高。不久之后，由于過(guò)熱，手機(jī)試圖通過(guò)傳輸 EPT 數(shù)據(jù)包來(lái)停止電力傳輸，但電壓操縱器引入的電壓干擾破壞了這些數(shù)據(jù)包，導(dǎo)致充電器無(wú)響應(yīng)，并受到虛假CE、RP報(bào)文的誤導(dǎo)，不斷傳輸功率，溫度進(jìn)一步升高。接著，手機(jī)進(jìn)一步激活了更多保護(hù)措施：關(guān)閉應(yīng)用程序，并在 126 F°（52.2℃） 時(shí)限制用戶(hù)交互。當(dāng)溫度來(lái)到170F°（76.7℃）時(shí)手機(jī)啟動(dòng)了緊急關(guān)機(jī)。盡管如此，電力傳輸仍在繼續(xù)，且溫度維持在危險(xiǎn)的 178F° (81℃)。

受測(cè)設(shè)備的熱像儀掃描(arxiv.org)

破壞附近其他物品

這種 VoltSchemer 攻擊類(lèi)型可以繞過(guò) Qi 標(biāo)準(zhǔn)安全機(jī)制，向附近不受支持的物品傳輸能量，例如汽車(chē)鑰匙扣、USB 棒、支付卡和訪(fǎng)問(wèn)控制中使用的 RFID 或 NFC 芯片、筆記本電腦中的固態(tài)硬盤(pán)以及充電器附近的其他物品。

以汽車(chē)鑰匙扣為例，攻擊導(dǎo)致電池爆炸并毀壞設(shè)備。對(duì)于像USB、固態(tài)硬盤(pán)等存儲(chǔ)設(shè)備，電壓傳輸將導(dǎo)致數(shù)據(jù)丟失。

更令人難以置信的是，通過(guò)對(duì)夾著文件的回形針進(jìn)行實(shí)驗(yàn)，研究人員成功地將其加熱到 536F°（280℃），這足以點(diǎn)燃文件。

對(duì)上述其他物品的熱掃描 (arxiv.org)

以上三種攻擊方式凸顯了現(xiàn)代充電器和標(biāo)準(zhǔn)中的安全漏洞，研究人員呼吁對(duì)其進(jìn)行更好的設(shè)計(jì)，以更好地抵御電磁干擾。研究人員已向接受測(cè)試的充電器供應(yīng)商披露了他們的發(fā)現(xiàn)，并討論了可以消除 VoltSchemer 攻擊風(fēng)險(xiǎn)的對(duì)策。