ولت‌شِمر: بهره‌برداری از نویز ولتاژ برای حمله به شارژرهای بی‌سیم

1. مقدمه

شارژ بی‌سیم، که نمونه بارز آن استاندارد گسترده کی است، با حذف رابط‌های فیزیکی، راحتی و ایمنی بیشتری را نوید می‌دهد. بازار آن با نرخ رشد مرکب سالانه ۲۵.۸ درصد در حال گسترش است. با این حال، این مقاله با عنوان "ولت‌شِمر"، حباب امنیتی درک‌شده را با افشای آسیب‌پذیری‌های حیاتی در هم می‌شکند. یافته اصلی این است که تداخل الکترومغناطیسی عمدی (IEMI)، که به‌عنوان نویز ولتاژ از یک منبع تغذیه به‌خطرافتاده وارد می‌شود، می‌تواند در سراسر سیستم منتشر شده و کانال ارتباطی درون‌باند بین شارژر و دستگاه را تصاحب کند. این امر به مهاجم اجازه می‌دهد تا کنترل کامل بر شارژرهای بی‌سیم تجاری آماده (COTS) را بدون هیچ تغییر فیزیکی به دست آورد و مجموعه‌ای از حملات قدرتمند را ممکن سازد.

2. پیش‌زمینه و کارهای مرتبط

2.1. شارژ بی‌سیم و استاندارد کی

شارژ بی‌سیم کی از کوپلینگ القایی بین سیم‌پیچ‌های فرستنده (Tx) و گیرنده (Rx) استفاده می‌کند. ارتباط برای کنترل (مانند نیازهای توان، سیگنال‌های FOD) از طریق مدولاسیون درون‌باند سیگنال حامل توان انجام می‌شود، برخلاف شارژ سیمی که خطوط داده جداگانه دارد. کنسرسیوم قدرت بی‌سیم (WPC) پروتکل‌های ایمنی مانند تشخیص شیء خارجی (FOD) را برای جلوگیری از گرم شدن اشیاء فلزی اعمال می‌کند.

2.2. حملات پیشین بر سیستم‌های شارژ

پژوهش‌های پیشین (مانند MACTANS، Juice Jacking) بر روی شارژ سیمی متمرکز بودند و از خطوط داده USB برای نصب بدافزار یا تزریق ضربه‌های کلید استفاده می‌کردند. شارژ بی‌سیم به دلیل عدم وجود مسیر مستقیم داده، ایمن‌تر در نظر گرفته می‌شد. ولت‌شِمر این فرض را به طور اساسی با حمله به خود کانال قدرت و ارتباط به چالش می‌کشد.

3. مدل تهدید و مرور کلی حمله

3.1. قابلیت‌های مهاجم

مهاجم نیاز به کنترل آداپتور برق AC-DC تغذیه‌کننده شارژر بی‌سیم دارد. این می‌تواند یک ایستگاه شارژ عمومی مخرب، یک پریز هوشمند به‌خطرافتاده یا یک آداپتور دستکاری‌شده باشد. هیچ تغییری در شارژر یا دستگاه مورد نیاز نیست.

3.2. اصل اصلی حمله: تزریق نویز ولتاژ

مهاجم نویز ولتاژ طراحی‌شده دقیق ($V_{noise}(t)$) را به خط برق DC تزریق می‌کند. این نویز از طریق تداخل الکترومغناطیسی (EMI) به مدار شارژر کوپل می‌شود و در نهایت میدان مغناطیسی تولیدشده توسط سیم‌پیچ Tx را مدوله می‌کند. از آنجایی که ارتباط کی به مدولاسیون همین میدان متکی است، مهاجم می‌تواند بسته‌های کنترلی مخرب را تزریق کند و خود را به جای شارژر یا دستگاه جا بزند.

4. بردارهای حمله ولت‌شِمر

4.1. تزریق دستورات صوتی غیرقابل شنیدن

با مدوله کردن سیگنال قدرت، مهاجم می‌تواند سیگنال‌های صوتی را از اجزای داخلی شارژر (سیم‌پیچ‌ها، خازن‌ها) در فرکانس‌های فراصوت تولید کند. این سیگنال‌ها می‌توانند توسط میکروفون یک گوشی هوشمند دمودوله شده و دستورات صوتی را روی دستیارهای صوتی (مانند سیری، دستیار گوگل) بدون آگاهی کاربر اجرا کنند.

4.2. آسیب به دستگاه از طریق شارژ بیش از حد/گرمای بیش از حد

مهاجم می‌تواند بسته‌های ارتباطی کی را جعل کند تا به شارژر دستور دهد توانی بیش از حد مجاز مذاکره‌شده با دستگاه را تحویل دهد که به طور بالقوه می‌تواند باتری یا مدار را از طریق اضافه‌ولتاژ یا تنش حرارتی آسیب برساند.

4.3. دور زدن تشخیص شیء خارجی (FOD)

این حیاتی‌ترین حمله است. مهاجم می‌تواند در حالی که یک شیء فلزی (مانند کلید، سکه یا کارت NFC) روی پد شارژ قرار دارد، سیگنال‌های جعلی "همه چیز واضح است" FOD را به شارژر ارسال کند. شارژر که فریب خورده و باور کرده هیچ شیء خارجی وجود ندارد، به کار خود با حداکثر قدرت ادامه می‌دهد و جریان‌های گردابی خطرناکی القا می‌کند که می‌توانند شیء را تا دمای اشتعال گرم کنند یا اقلام ارزشمند را از مغناطیس خارج کرده یا ذوب کنند.

5. جزئیات فنی و مدل ریاضی

5.1. انتشار سیگنال و کوپلینگ EMI

نویز ولتاژ تزریق‌شده $V_{noise}(t)$ از طریق باس DC منتشر می‌شود. اجزای غیرایده‌آل (ردیف‌ها، خازن‌ها) مانند آنتن عمل کرده و این نویز را به مدارهای آنالوگ و سوئیچینگ حساس شارژر کوپل می‌کنند. این کوپلینگ را می‌توان به‌عنوان یک تابع انتقال ناخواسته $H_{coupling}(f)$ مدل کرد: $$V_{induced}(f) = H_{coupling}(f) \cdot V_{noise}(f)$$ که در آن $V_{induced}(f)$ نویز ظاهر شده روی گره‌های حیاتی است.

5.2. مدولاسیون سیگنال قدرت برای ارتباط درون‌باند

ارتباط کی از کلیدزنی جابجایی دامنه (ASK) استفاده می‌کند. دستگاه Rx بار را مدوله می‌کند تا تغییرات دامنه‌ای روی ولتاژ سیم‌پیچ Tx ایجاد کند. نویز القاشده مهاجم $V_{induced}(t)$ می‌تواند این مدولاسیون را تقلید کند. برای تزریق بیت '۱'، مهاجم یک مؤلفه فرکانسی خاص را برهم‌نهی می‌کند تا یک افت دامنه قابل تشخیص ایجاد شود. پروفایل نویز مورد نیاز باید با ساختار بسته کی (پیش‌آمده، هدر، پیام، چک‌سام) مطابقت داشته باشد.

6. راه‌اندازی آزمایشی و نتایج

6.1. دستگاه‌های آزمایش شده و نرخ موفقیت

نویسندگان با موفقیت هر سه حمله را روی ۹ مورد از ۹ شارژر کی پرفروش COTS از برندهایی مانند بلکین، انکر و سامسونگ نشان دادند. این نرخ موفقیت ۱۰۰٪ فراگیر بودن آسیب‌پذیری را تأکید می‌کند.

6.2. معیارهای کلیدی عملکرد و مشاهدات

توضیح نمودار (تصوری): یک نمودار میله‌ای "نرخ موفقیت حمله به ازای هر مدل شارژر" را تقریباً ۱۰۰٪ برای همه نشان می‌دهد. یک نمودار خطی "دمای شیء القاشده در مقابل زمان" را در طول حمله دور زدن FOD ترسیم می‌کند که افزایش شدید تا بیش از ۲۸۰ درجه سانتی‌گراد را برای یک کلید خانه نشان می‌دهد و خطر آتش‌سوزی را اثبات می‌کند. یک نمودار دیگر زنجیره سیگنال را نشان می‌دهد: منبع تغذیه مخرب → $V_{noise}$ تزریق‌شده → برد مدار چاپی شارژر (کوپلینگ EMI) → مدولاسیون سیم‌پیچ Tx → میدان مغناطیسی مخرب → دستگاه/شیء هدف.

آزمایش‌ها توانایی تزریق بسته‌های کی معتبر، اجبار به حالت توان بالا مداوم و گرم کردن اشیاء خارجی تا سطوح خطرناک در عرض چند دقیقه را تأیید کردند.

7. چارچوب تحلیل و مطالعه موردی

چارچوب ارزیابی امنیت شارژر بی‌سیم:

1. تحلیل یکپارچگی سیگنال: ممیزی مرحله ورودی منبع تغذیه از نظر حساسیت به EMI هدایت‌شده. اندازه‌گیری نسبت رد منبع تغذیه (PSRR) آی‌سی‌های حیاتی شارژر.
2. فازینگ پروتکل ارتباطی: تزریق سیستماتیک الگوهای نویز ولتاژ بدشکل و خارج از مشخصات برای آزمایش استحکام تجزیه‌کننده پروتکل کی روی میکروکنترلر شارژر.
3. پایش کانال جانبی: پایش کانال‌های جانبی ناخواسته (صوتی، حرارتی، توان) در حین عملکرد عادی برای ایجاد خط پایه، سپس تشخیص ناهنجاری‌ها در طول شبیه‌سازی‌های حمله.

8. اقدامات متقابل و راهبردهای کاهش خطر

• سطح سخت‌افزار: پیاده‌سازی فیلترینگ و محافظ‌سازی قوی در ورودی برق DC. استفاده از توپولوژی‌های مبدل قدرت ایزوله شده. گنجاندن احراز هویت مبتنی بر سخت‌افزار برای دستورات حیاتی (مانند وضعیت FOD، کنترل توان).
• سطح فریم‌ور/پروتکل: افزودن کدهای احراز هویت پیام (MACs) یا امضای دیجیتال به بسته‌های کی، همان‌طور که نویسندگان پیشنهاد کرده‌اند. پیاده‌سازی بررسی‌های منطقی (مانند اعتبارسنجی متقابل درخواست‌های توان با حسگرهای حرارتی).
• آگاهی کاربر: پرهیز از استفاده از شارژرهای بی‌سیم عمومی و غیرقابل اعتماد برای دستگاه‌های ارزشمند. آگاهی از گرمای غیرعادی در حین شارژ.

9. کاربردهای آینده و جهت‌های پژوهشی

• گسترش دامنه هدف: بررسی حملات مشابه نویز ولتاژ بر روی سایر سیستم‌های القایی (مانند خواننده‌های RFID، شارژ بی‌سیم خودروهای الکتریکی).
• تولید حمله تقویت‌شده با هوش مصنوعی: استفاده از یادگیری تقویتی برای کشف شکل‌موج‌های نویز بهینه برای سخت‌افزارهای مختلف شارژر، مشابه حملات متخاصم در یادگیری ماشین اعمال‌شده بر سخت‌افزار.
• تکامل استاندارد: تحت فشار قرار دادن WPC برای الزام به ارتقاء امنیتی در مشخصات آینده کی، که به طور بالقوه شامل پروتکل‌های رمزنگاری سبک مناسب برای کنترل کم‌مصرف و بلادرنگ می‌شود.
• ابزارهای دفاعی: توسعه چارچوب‌های آزمایش خودکار برای تولیدکنندگان تا مقاومت شارژرهای خود را در برابر حملات سبک ولت‌شِمر ارزیابی کنند.

10. مراجع

1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
2. Wireless Power Consortium. Qi Wireless Power Transfer System Specification.
3. Clark, S., et al. (2013). MACTANS: Injecting Malware into iOS Devices via Malicious Chargers. USENIX Security.
4. Zhang, K., et al. (2021). Learning to Listen: A Neural Network for Inaudible Voice Recognition. IEEE S&P.
5. NIST. (2020). Guidelines for Managing the Security of Mobile Devices in the Enterprise (SP 800-124 Rev. 2).

11. تحلیل کارشناسی و بررسی انتقادی