1. Einleitung

Kabelloses Laden, verkörpert durch den weit verbreiteten Qi-Standard, wurde als sichere und bequeme Alternative zum kabelgebundenen Laden vermarktet, die weitgehend immun gegen datenbasierte Angriffe sei, die USB-Verbindungen plagen. Die VoltSchemer-Forschung zerstört diese Annahme und deckt eine grundlegende Schwachstelle in der Stromversorgungskette selbst auf. Diese Arbeit zeigt, dass ein Angreifer durch Modulation der einem handelsüblichen (COTS) kabellosen Ladegerät zugeführten Spannung gezielte elektromagnetische Störungen (IEMI) induzieren kann, die den Betrieb des Ladegeräts manipulieren, dessen Sicherheitsprotokolle umgehen und eine Reihe mächtiger physischer und cyber-physischer Angriffe ermöglichen.

2. Hintergrund & Bedrohungsmodell

Das Verständnis von VoltSchemer erfordert ein Verständnis der wahrgenommenen Sicherheit des Qi-Ökosystems und des neu eingeführten Bedrohungsmodells.

2.1 Qi-Standard für kabelloses Laden

Der Qi-Standard des Wireless Power Consortium (WPC) nutzt magnetische Nahfeldinduktion zur Energieübertragung. Die Sicherheit wird durch In-Band-Kommunikation durchgesetzt, bei der Ladegerät und Gerät Steuerpakete durch Modulation des Leistungssignals selbst austauschen. Kritische Sicherheitsfunktionen umfassen die Fremdkörpererkennung (FOD), um die Erwärmung metallischer Gegenstände zu verhindern, sowie ausgehandelte Leistungspegel, um eine Überladung zu verhindern.

2.2 Angriffsmodell & Annahmen

Das Ziel des Angreifers ist es, das beabsichtigte Verhalten des kabellosen Ladegeräts zu untergraben. Die Kernannahme ist, dass der Angreifer das Netzteils (AC-DC-Wandler) steuern oder ersetzen kann, das das Ladegerät versorgt. Dies ist eine realistische Bedrohung in öffentlichen Räumen (Flughäfen, Cafés) oder über kompromittierte/bösartige Ladestationen. Es sind keine physischen Modifikationen am Ladegerät oder Gerät erforderlich.

3. Die VoltSchemer-Angriffsmethodik

VoltSchemer nutzt die nicht-ideale Isolation zwischen der Stromeingangsversorgung und der Steuerelektronik der Sendespule aus.

3.1 Angriffsvektor: Spannungsrauschen-Injektion

Der Angreifer erzeugt ein speziell konstruiertes Spannungsrauschsignal $V_{noise}(t)$ und überlagert es mithilfe einer eigens entwickelten Schaltung der DC-Versorgungsspannung $V_{dc}$. Diese verrauschte Versorgung $V_{supply}(t) = V_{dc} + V_{noise}(t)$ wird dem kabellosen Ladegerät zugeführt. Aufgrund elektromagnetischer Störungen (EMI) und der begrenzten Störunterdrückung (PSRR) in der Schaltung des Ladegeräts breitet sich dieses Rauschen aus und moduliert den Strom in der Sendespule.

3.2 Ausnutzung der In-Band-Kommunikation

Die Qi-Kommunikation basiert auf Amplitudenmodulation des Leistungssignals. Durch Formung von $V_{noise}(t)$ kann der Angreifer legitime Kommunikationspakete imitieren oder überschreiben. Das injizierte Rauschen erzeugt Seitenbänder, die den Demodulationsprozess beim Empfänger (Smartphone) stören, was die Injektion bösartiger Qi-Pakete oder die Unterbrechung legitimer Pakete ermöglicht.

3.3 Technische Details & Mathematisches Modell

Der Angriff kann als Signal-Injektionsproblem modelliert werden. Der Sendespulenstrom $I_{tx}(t)$ ist eine Funktion des Eingangs der Treiberschaltung, der durch das Versorgungsrauschen korrumpiert wird. Eine vereinfachte Darstellung: $I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$, wobei $f$ die Übertragungsfunktion des Ladegeräts ist, $\alpha$ der Kopplungskoeffizient, der die Rauschanfälligkeit darstellt, und $C(t)$ legitime Steuersignale sind. Der Angreifer entwirft $V_{noise}(t)$, um einen gewünschten bösartigen $I_{tx}(t)$ zu erreichen, der gefälschten Qi-Nachrichten entspricht (z.B. "FOD bestanden", "Leistung erhöhen").

4. Demonstrierte Angriffsvektoren

Die Forschung konkretisiert die Bedrohung durch drei praktische Angriffe.

Angriffserfolgsrate

9/9

Top-verkaufte COTS-Ladegeräte anfällig

Kernauswirkung

3

Unterschiedliche, hochkritische Angriffsvektoren demonstriert

4.1 Unhörbare Sprachbefehl-Injektion

Das modulierte Magnetfeld kann winzige Spannungen in der internen Audiotechnik eines Smartphones induzieren. Durch Kodierung von Sprachbefehlen im Ultraschallbereich (>20 kHz) kann VoltSchemer Sprachassistenten (Google Assistant, Siri) ohne Wissen des Nutzers auslösen, was zu Gerätekompromittierung, Datenexfiltration oder Smart-Home-Kontrolle führen kann.

4.2 Gerätebeschädigung durch Überladung/Überhitzung

Durch Fälschung von Qi-Kommunikationspaketen kann der Angreifer das Ladegerät anweisen, das "End Power Transfer"-Signal des Geräts zu ignorieren oder Leistung über die ausgehandelten Grenzen hinaus zu liefern. Dies kann zu schwerer Batterieverschlechterung, Aufblähung oder in Extremfällen zu thermischem Durchgehen und Brand führen.

4.3 Umgehung der Fremdkörpererkennung (FOD)

Dies ist der heimtückischste Angriff. FOD ist eine kritische Sicherheitsfunktion, die parasitären Leistungsverlust (z.B. an einer Münze oder einem Schlüssel) erkennt und abschaltet. VoltSchemer kann Pakete injizieren, die fälschlicherweise eine hohe Energieübertragungseffizienz melden, wodurch das Ladegerät getäuscht wird, mit voller Leistung zu arbeiten, während ein Fremdkörper anwesend ist – was eine intensive lokale Erwärmungsgefahr erzeugt.

5. Experimentelle Ergebnisse & Auswertung

5.1 Testaufbau & Geräte

Das Team testete 9 meistverkaufte Qi-Ladegeräte von Marken wie Anker, Belkin und Samsung. Der Angriffsaufbau bestand aus einer programmierbaren Stromversorgung zur Erzeugung von $V_{noise}(t)$, dem Ziel-Ladegerät und verschiedenen Opfergeräten (Smartphones, Schlüsselanhänger, USB-Sticks).

5.2 Erfolgsquoten & Auswirkungsmetriken

Alle 9 Ladegeräte waren für mindestens einen Angriffsvektor anfällig. Die Sprachbefehl-Injektion gelang bei auf dem Ladegerät platzierten Geräten. Überladungsangriffe konnten kontinuierliche Ladezyklen erzwingen. Die FOD-Umgehung wurde erfolgreich demonstriert und erwärmte einen Haustürschlüssel innerhalb weniger Minuten auf über 280°C – ein eindeutiges Brandentstehungsrisiko.

5.3 Diagramme & Datenvisualisierung

Abbildung 1: Temperaturanstieg während des FOD-Umgehungsangriffs. Ein Liniendiagramm würde die Zeit auf der X-Achse und die Temperatur (°C) auf der Y-Achse zeigen. Die Linie für ein Metallobjekt (z.B. einen Schlüssel) würde einen steilen, nahezu linearen Anstieg von Raumtemperatur auf über 280°C innerhalb von 3-5 Minuten zeigen, wenn die FOD umgangen wird, während die Linie für eine legitime Ladesitzung flach bleiben oder einen leichten Anstieg zeigen würde.

Abbildung 2: Spannungsrauschspektrum für Befehlsinjektion. Ein Frequenzbereichsdiagramm zeigt das vom Angreifer injizierte Rauschsignal $V_{noise}(f)$. Spitzen wären im Ultraschallbereich (z.B. 20-24 kHz) sichtbar, entsprechend dem modulierten Sprachbefehl, neben niederfrequenten Komponenten, die zur Manipulation des Qi-Pakettimings verwendet werden.

6. Analyse-Framework & Fallbeispiel

Fall: Kompromittierung einer öffentlichen Ladestation. Ein Angreifer ersetzt das Netzteil in einem öffentlichen kabellosen Ladepad an einem Flughafen durch ein bösartiges. Das Netzteil erscheint normal, enthält aber einen Mikrocontroller, der VoltSchemer-Signale erzeugt.

  1. Erkundung: Das Netzteil überwacht passiv den Stromverbrauch, um zu erkennen, wann ein Smartphone auf das Pad gelegt wird.
  2. Ausnutzung: Bei Erkennung führt es eine vorprogrammierte Angriffssequenz aus: 1) FOD umgehen, um volle Leistung zu ermöglichen. 2) Einen unhörbaren Sprachbefehl injizieren: "Hey Google, sende mein letztes Foto an [Nummer des Angreifers]."
  3. Auswirkung: Die Privatsphäre des Nutzers wird verletzt. Gleichzeitig erhöht die anhaltende Hochleistungsübertragung bei anliegendem Telefon die Gerätetemperatur, was zu Unbehagen und potenziellem Batteriestress führt.

Dieses Framework verdeutlicht das multi-vektorielle, automatisierte Potenzial des Angriffs in einem realen Szenario.

7. Gegenmaßnahmen & Eindämmungsstrategien

Die Arbeit schlägt mehrere Verteidigungsmaßnahmen vor:

  • Verbesserte Stromversorgungsfilterung: Implementierung robusterer EMI-Filter und Regler am Eingang des Ladegeräts, um hochfrequentes Rauschen zu dämpfen.
  • Out-of-Band-Authentifizierung: Hinzufügen eines separaten, authentifizierten Kommunikationskanals (z.B. NFC, Bluetooth Low Energy) für kritische Sicherheitssignale wie den FOD-Status, wie in einigen akademischen Arbeiten zur Sicherung cyber-physischer Systeme vorgeschlagen.
  • Signalintegritätsprüfungen: Implementierung von Konsistenzprüfungen im Qi-Kommunikationsprotokoll, um unnatürliche Signalmodulationen zu erkennen, die auf Manipulation hindeuten.
  • Physische Manipulationssicherung: Für öffentliche Installationen: Sicherung der Netzteile, um einen einfachen Austausch zu verhindern.

8. Zukünftige Anwendungen & Forschungsrichtungen

VoltSchemer eröffnet ein neues Gebiet der Hardwaresicherheitsforschung:

  • Erweiterte Zielanalyse: Anwendung ähnlicher Prinzipien auf andere kontaktlose Energie-/Kommunikationssysteme (z.B. RFID, NFC, kabelloses Laden von Elektrofahrzeugen). Das grundlegende Problem der Versorgungsrauschkopplung könnte weit verbreitet sein.
  • KI-gesteuerte Angriffssynthese: Einsatz von Reinforcement Learning, um automatisch optimale $V_{noise}(t)$-Wellenformen für neue Ladegerätemodelle zu entdecken und so den Bedarf an manueller Reverse Engineering zu reduzieren.
  • Standardisierungsinitiative: Diese Arbeit liefert kritische Daten für Standardisierungsgremien wie das WPC, um strengere Störfestigkeit der Stromversorgung (PSRR) und Signalauthentifizierung in zukünftigen Qi-Spezifikationen (z.B. Qi v3.0) verbindlich vorzuschreiben.
  • Entwicklung defensiver Werkzeuge: Erstellung diagnostischer Werkzeuge, die die Anfälligkeit eines kabellosen Ladegeräts für Spannungsrauschen-Injektion scannen können, ähnlich wie Software-Schwachstellenscanner.

9. Referenzen

  1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
  2. Wireless Power Consortium. (2023). Qi Wireless Power Transfer System Specification. Abgerufen von https://www.wirelesspowerconsortium.com
  3. Zhang, K., et al. (2019). PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines. IEEE Transactions on Information Forensics and Security.
  4. Guri, M. (2020). Power-Supplay: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers. IEEE Access.
  5. NIST. (2020). Framework for Cyber-Physical Systems. National Institute of Standards and Technology. Abgerufen von https://www.nist.gov/el/cyber-physical-systems

10. Expertenanalyse & Kritische Würdigung

Kernerkenntnis

VoltSchemer ist nicht nur ein weiterer Fehler; es ist ein systemisches Versagen im Sicherheitsmodell des kabellosen Ladens. Die kurzsichtige Fokussierung der Industrie auf die Verteidigung des Datenpfads (der bei kabelloser Übertragung entfällt) machte sie blind für den physischen Leistungspfad als Angriffsvektor. Diese Forschung beweist, dass in cyber-physischen Systemen jeder Energiekanal für Kommunikation und Kontrolle als Waffe eingesetzt werden kann – ein Prinzip, das in früheren Arbeiten wie PowerHammer (Exfiltration über Stromleitungen) anklingt, nun aber zerstörerisch auf sicherheitskritische Hardware angewandt wird. Die Annahme, dass "keine direkte Verbindung gleich höhere Sicherheit" bedeutet, wurde entscheidend widerlegt.

Logischer Ablauf

Die Angriffslogik ist in ihrer Einfachheit elegant: 1) Identifikation des Kanals: Der DC-Stromeingang ist ein vertrauenswürdiger, nicht authentifizierter Kanal. 2) Ausnutzung der Kopplung: Ausnutzung unvermeidlicher analoger Unvollkommenheiten (EMI, schlechte PSRR), um Spannungsrauschen in Magnetfeldmodulation zu übersetzen. 3) Untergrabung des Protokolls: Abbildung dieser Kontrolle über das Magnetfeld auf die In-Band-Kommunikationsebene des Qi-Standards. 4) Ausführung der Payloads: Nutzung dieser Kontrolle, um die drei Kernversprechen des kabellosen Ladens zu verletzen: Datenisolation, ausgehandelte Leistungsübertragung und Fremdkörpersicherheit. Der Fluss vom physikalischen Phänomen zum Protokollbruch ist nahtlos und erschreckend effektiv.

Stärken & Schwächen

Stärken: Die Forschung ist außergewöhnlich praktisch. Der Angriff auf 9 COTS-Geräte demonstriert unmittelbare, reale Relevanz, nicht nur theoretisches Risiko. Die multi-vektorielle Demonstration (Privatsphäre, Integrität, Sicherheit) zeigt umfassende Auswirkungen. Der Angriff erfordert keinen Geräte-seitigen Exploit, was ihn skalierbar macht.

Schwächen & offene Fragen: Während der Proof-of-Concept solide ist, spielt die Arbeit den Bedarf des Angreifers an präziser, gerätespezifischer Abstimmung herunter. Das "bösartige Netzteil" muss für die Rauschanfälligkeit ($\alpha$) eines bestimmten Ladegerätemodells entwickelt werden, was Reverse Engineering erfordert. Wie skalierbar ist dies in der Praxis gegen ein diverses Ökosystem? Darüber hinaus ist die Diskussion der Gegenmaßnahmen vorläufig. Würde Out-of-Band-Authentifizierung, wie vorgeschlagen, einfach Kosten und Komplexität erhöhen, oder ist sie die einzig gangbare langfristige Lösung? Die Arbeit könnte sich vertiefter mit den wirtschaftlichen und standardisierungsbezogenen Hürden der Eindämmung auseinandersetzen.

Umsetzbare Erkenntnisse

Für die Industrie ist die Zeit der Selbstzufriedenheit vorbei. Hersteller müssen ihre Designs umgehend auf Störfestigkeit der Stromversorgung überprüfen und den DC-Eingang als potenzielle Angriffsfläche behandeln. Eine Verstärkung auf Komponentenebene mit besseren Filtern ist eine nicht verhandelbare kurzfristige Lösung. Das Wireless Power Consortium (WPC) muss dies als kritischen Pfad für die nächste Qi-Spezifikation behandeln. Die verbindliche Vorgabe von Signalauthentifizierung oder Integritätsprüfungen für FOD- und Leistungssteuerungspakete ist unerlässlich. Sich ausschließlich auf In-Band-Kommunikation für die Sicherheit zu verlassen, ist nun als fehlerhaft erwiesen. Unternehmen & Betreiber öffentlicher Einrichtungen sollten öffentliche Ladestationen überprüfen, sicherstellen, dass Netzteile physisch gesichert sind, und einen Wechsel zu nutzerseitig bereitgestellter Energie (z.B. USB-C PD) für öffentliche Ladepads in Betracht ziehen. Als Analyst prognostiziere ich, dass regulatorische Prüfungen folgen werden; die CPSC (Consumer Product Safety Commission) und gleichwertige Behörden weltweit werden die demonstrierte Brandgefahr zur Kenntnis nehmen. VoltSchemer hat die Angriffsfläche für die IoT-Welt neu gezeichnet – sie zu ignorieren ist ein schwerwiegendes Risiko.