شارژ بیسیم، که نمونه بارز آن استاندارد گسترده Qi است، به عنوان جایگزینی امن و راحت برای شارژ سیمی معرفی شده و عمدتاً در برابر حملات مبتنی بر داده که ارتباطات USB را آزار میدهند، مصون فرض شده است. پژوهش ولتشمر این فرض را در هم میشکند و یک آسیبپذیری بنیادی در خود زنجیره تأمین برق را آشکار میکند. این مقاله نشان میدهد که با مدوله کردن ولتاژ تغذیهشده به یک شارژر بیسیم تجاری آماده (COTS)، مهاجم میتواند تداخل الکترومغناطیسی عمدی (IEMI) ایجاد کند که عملکرد شارژر را دستکاری کرده، پروتکلهای امنیتی آن را دور میزند و مجموعهای از حملات فیزیکی و سایبری-فیزیکی قدرتمند را ممکن میسازد.
درک ولتشمر مستلزم درک امنیت درکشده اکوسیستم Qi و مدل تهدید نوینی است که معرفی میکند.
استاندارد Qi از کنسرسیوم قدرت بیسیم (WPC) از القای مغناطیسی میدان نزدیک برای انتقال توان استفاده میکند. امنیت از طریق ارتباط درونباند اعمال میشود، جایی که شارژر و دستگاه با مدوله کردن خود سیگنال توان، بستههای کنترلی را مبادله میکنند. ویژگیهای ایمنی حیاتی شامل تشخیص شیء خارجی (FOD) برای جلوگیری از گرمایش اشیاء فلزی و سطوح توان مذاکرهشده برای جلوگیری از شارژ بیش از حد است.
هدف مهاجم، نقض رفتار مورد نظر شارژر بیسیم است. فرض اصلی این است که مهاجم میتواند آداپتور برق (مبدل AC-DC) تغذیهکننده شارژر را کنترل یا جایگزین کند. این یک تهدید واقعبینانه در فضاهای عمومی (فرودگاهها، کافهها) یا از طریق ایستگاههای شارژ مخرب/بهخطرافتاده است. هیچ تغییر فیزیکی در شارژر یا دستگاه مورد نیاز نیست.
ولتشمر از جداسازی غیرایدهآل بین ورودی برق و مدارهای کنترل سیم پیچ فرستنده سوءاستفاده میکند.
مهاجم یک سیگنال نویز ولتاژ طراحیشده دقیق $V_{noise}(t)$ تولید کرده و آن را با استفاده از یک مدار هدفساز، بر روی ولتاژ تغذیه DC $V_{dc}$ سوار میکند. این تغذیه نویزی $V_{supply}(t) = V_{dc} + V_{noise}(t)$ به شارژر بیسیم داده میشود. به دلیل تداخل الکترومغناطیسی (EMI) و محدودیتهای نسبت رد نویز منبع تغذیه (PSRR) در مدار شارژر، این نویز منتشر شده و جریان در سیم پیچ فرستنده را مدوله میکند.
ارتباط Qi بر مدولاسیون دامنه سیگنال توان متکی است. با شکلدهی به $V_{noise}(t)$، مهاجم میتواند بستههای ارتباطی قانونی را تقلید یا بازنویسی کند. نویز تزریقشده فرکانسهای باند کناری ایجاد میکند که با فرآیند دمودولاسیون در گیرنده (تلفن) تداخل کرده و تزریق بستههای Qi مخرب یا اختلال در بستههای قانونی را ممکن میسازد.
این حمله را میتوان به عنوان یک مسئله تزریق سیگنال مدل کرد. جریان سیم پیچ فرستنده $I_{tx}(t)$ تابعی از ورودی مدار درایور است که توسط نویز منبع تغذیه مخدوش میشود. یک نمایش سادهشده: $I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$، که در آن $f$ تابع انتقال شارژر است، $\alpha$ ضریب جفتشدگی نمایانگر حساسیت به نویز است، و $C(t)$ سیگنالهای کنترلی قانونی هستند. مهاجم $V_{noise}(t)$ را طراحی میکند تا به یک $I_{tx}(t)$ مخرب دلخواه دست یابد که با پیامهای Qi جعلی (مثلاً "FOD عبور کرد"، "افزایش توان") مطابقت دارد.
این پژوهش تهدید را از طریق سه حمله عملی عینی میسازد.
9/9
شارژرهای پرفروش COTS آسیبپذیر
3
بردارهای حمله متمایز و با شدت بالا اثبات شد
میدان مغناطیسی مدولهشده میتواند ولتاژهای کوچکی در مدارهای صوتی داخلی یک تلفن هوشمند القا کند. با کدگذاری دستورات صوتی در محدوده فراصوت (>20 کیلوهرتز)، ولتشمر میتواند دستیارهای صوتی (Google Assistant، Siri) را بدون آگاهی کاربر فعال کند و منجر به بهخطرافتادن دستگاه، استخراج داده یا کنترل خانه هوشمند شود.
با جعل بستههای ارتباطی Qi، مهاجم میتواند به شارژر دستور دهد تا سیگنال "پایان انتقال توان" دستگاه را نادیده بگیرد یا توانی فراتر از محدودیتهای مذاکرهشده تحویل دهد. این میتواند باعث تخریب شدید باتری، باد کردن آن یا در موارد شدید، فرار حرارتی و آتشسوزی شود.
این مخربترین حمله است. FOD یک ویژگی ایمنی حیاتی است که اتلاف توان انگلی (مثلاً به یک سکه یا کلید) را تشخیص داده و خاموش میشود. ولتشمر میتواند بستههایی تزریق کند که به دروغ بازده انتقال توان بالا را گزارش میدهند و شارژر را فریب میدهند تا در حضور یک شیء خارجی با حداکثر توان کار کند و یک خطر گرمایش موضعی شدید ایجاد کند.
تیم 9 شارژر Qi پرفروش از برندهایی مانند Anker، Belkin و Samsung را آزمایش کردند. تنظیمات حمله شامل یک منبع تغذیه برنامهپذیر برای تولید $V_{noise}(t)$، شارژر هدف و دستگاههای قربانی مختلف (تلفنهای هوشمند، ریموت کلید، درایوهای USB) بود.
هر 9 شارژر حداقل در برابر یک بردار حمله آسیبپذیر بودند. تزریق دستور صوتی روی دستگاههای قرارگرفته روی شارژر موفق بود. حملات شارژ بیش از حد توانستند چرخههای شارژ مداوم را تحمیل کنند. دور زدن FOD با موفقیت اثبات شد و یک کلید خانگی را در عرض چند دقیقه به بیش از 280 درجه سانتیگراد (536 درجه فارنهایت) رساند که یک خطر واضح اشتعال است.
شکل 1: افزایش دما در طول حمله دور زدن FOD. یک نمودار خطی زمان را روی محور X و دما (سانتیگراد) را روی محور Y نشان میدهد. خط مربوط به یک شیء فلزی (مثلاً یک کلید) افزایشی تند و تقریباً خطی از دمای اتاق به بیش از 280 درجه سانتیگراد در عرض 3-5 دقیقه را نشان میدهد وقتی FOD دور زده میشود، در حالی که خط مربوط به یک جلسه شارژ قانونی صاف باقی میماند یا افزایش ملایمی نشان میدهد.
شکل 2: طیف نویز ولتاژ برای تزریق دستور. یک نمودار حوزه فرکانس که سیگنال نویز تزریقشده مهاجم $V_{noise}(f)$ را نشان میدهد. قلههایی در باند فراصوت (مثلاً 24-20 کیلوهرتز) متناظر با دستور صوتی مدولهشده، در کنار مؤلفههای فرکانس پایینتر مورد استفاده برای دستکاری زمانبندی بستههای Qi قابل مشاهده خواهد بود.
مورد: بهخطرافتادن ایستگاه شارژ عمومی. یک مهاجم آداپتور برق در یک پد شارژ بیسیم عمومی در فرودگاه را با یک آداپتور مخرب جایگزین میکند. آداپتور عادی به نظر میرسد اما حاوی یک میکروکنترلر است که سیگنالهای ولتشمر را تولید میکند.
این چارچوب، پتانسیل چندبردار و خودکار حمله را در یک سناریوی واقعی برجسته میکند.
مقاله چندین دفاع را پیشنهاد میکند:
ولتشمر حوزه جدیدی از پژوهش امنیت سختافزار را میگشاید:
ولتشمر فقط یک باگ دیگر نیست؛ یک شکست سیستماتیک در مدل امنیتی شارژ بیسیم است. تمرکز کوتهبینانه صنعت بر دفاع از مسیر داده (که در بیسیم حذف شده) آن را نسبت به مسیر فیزیکی برق به عنوان یک بردار حمله کور کرده بود. این پژوهش ثابت میکند که در سیستمهای سایبری-فیزیکی، هر کانال انرژی میتواند برای ارتباط و کنترل تسلیح شود - اصلی که در آثار قبلی مانند PowerHammer (استخراج داده از طریق خطوط برق) تکرار شده اما اکنون به صورت مخرب روی سختافزارهای حیاتی از نظر ایمنی اعمال شده است. فرض اینکه "عدم اتصال مستقیم برابر با امنیت بالاتر است" به طور قاطع رد شده است.
منطق حمله در سادگی خود ظریف است: 1) شناسایی کانال: ورودی برق DC یک مجرای مورد اعتماد و غیراحرازشده است. 2) سوءاستفاده از جفتشدگی: استفاده از ناکاملبودن اجتنابناپذیر آنالوگ (EMI، PSRR ضعیف) برای تبدیل نویز ولتاژ به مدولاسیون میدان مغناطیسی. 3) نقض پروتکل: نگاشت این کنترل بر میدان مغناطیسی روی لایه ارتباط درونباند استاندارد Qi. 4) اجرای محمولهها: استفاده از این کنترل برای نقض سه تضمین اصلی شارژ بیسیم: جداسازی داده، انتقال توان مذاکرهشده و ایمنی شیء خارجی. جریان از پدیده فیزیکی تا نقض پروتکل بیدرز و به طرز ترسناکی مؤثر است.
نقاط قوت: پژوهش به طور استثنایی عملی است. حمله به 9 دستگاه COTS ارتباط فوری و مرتبط با دنیای واقعی را نشان میدهد، نه فقط خطر نظری. نمایش چندبردار (حریم خصوصی، یکپارچگی، ایمنی) تأثیر جامع را نشان میدهد. حمله به هیچ بهرهبرداری سمت دستگاهی نیاز ندارد و آن را مقیاسپذیر میسازد.
نقاط ضعف و سؤالات باز: در حالی که اثبات مفهوم محکم است، مقاله نیاز مهاجم به تنظیم دقیق مختص مدل شارژر را کماهمیت جلوه میدهد. "آداپتور برق مخرب" باید برای حساسیت نویز ($\alpha$) یک مدل شارژر خاص مهندسی شود که نیازمند مهندسی معکوس است. این در عمل علیه یک اکوسیستم متنوع چقدر مقیاسپذیر است؟ علاوه بر این، بحث درباره راهکارهای مقابله مقدماتی است. آیا احراز هویت برونباند، همانطور که پیشنهاد شده، صرفاً هزینه و پیچیدگی اضافه میکند، یا تنها راهحل عملی بلندمدت است؟ مقاله میتوانست عمیقتر با موانع اقتصادی و استانداردسازی برای کاهش خطر درگیر شود.
برای صنعت، زمان بیتفاوتی به پایان رسیده است. تولیدکنندگان باید بلافاصله طراحیهای خود را از نظر مصونیت در برابر نویز منبع تغذیه ممیزی کنند و ورودی DC را به عنوان یک سطح حمله بالقوه در نظر بگیرند. مقاومسازی در سطح مؤلفه با فیلترهای بهتر یک راهحل کوتاهمدت غیرقابل مذاکره است. کنسرسیوم قدرت بیسیم (WPC) باید این را به عنوان یک مسئله مسیر بحرانی برای مشخصات بعدی Qi در نظر بگیرد. اجباری کردن احراز هویت سیگنال یا بررسیهای یکپارچگی برای بستههای FOD و کنترل توان ضروری است. اتکای صرف به ارتباط درونباند برای ایمنی اکنون ناقص ثابت شده است. اپراتورهای سازمانی و اماکن عمومی باید ایستگاههای شارژ عمومی را ممیزی کنند، اطمینان حاصل کنند که آداپتورهای برق از نظر فیزیکی ایمن هستند و در نظر بگیرند که برای پدهای شارژ عمومی به سمت برق تأمینشده توسط کاربر (مانند USB-C PD) حرکت کنند. به عنوان یک تحلیلگر، پیشبینی میکنم بررسی نظارتی دنبال خواهد شد؛ CPSC (کمیسیون ایمنی محصولات مصرفی) و نهادهای معادل جهانی متوجه خطر آتشسوزی اثباتشده خواهند شد. ولتشمر نقشه سطح حمله برای دنیای اینترنت اشیا را دوباره ترسیم کرده است - نادیده گرفتن آن یک مسئولیت عمیق است.