Pengecasan wayarles, yang diwakili oleh piawaian Qi yang meluas, telah dipasarkan sebagai alternatif yang selamat dan mudah berbanding pengecasan berkabel, yang kebanyakannya kebal terhadap serangan berasaskan data yang melanda sambungan USB. Penyelidikan VoltSchemer memecahkan andaian ini, mendedahkan kelemahan asas dalam rantaian penghantaran kuasa itu sendiri. Kertas kerja ini menunjukkan bahawa dengan memodulatkan voltan yang dibekalkan kepada pengecas wayarles Komersial Siap Sedia (COTS), penyerang boleh mendorong gangguan elektromagnetik yang disengajakan (IEMI) yang memanipulasi operasi pengecas, memintas protokol keselamatannya dan membolehkan satu siri serangan fizikal dan siber-fizikal yang berkuasa.
Memahami VoltSchemer memerlukan kefahaman tentang keselamatan yang dirasakan ekosistem Qi dan model ancaman baharu yang diperkenalkan.
Piawaian Qi oleh Konsortium Kuasa Wayarles (WPC) menggunakan aruhan magnetik medan dekat untuk pemindahan kuasa. Keselamatan dikuatkuasakan melalui komunikasi dalam jalur, di mana pengecas dan peranti bertukar paket kawalan dengan memodulatkan isyarat kuasa itu sendiri. Ciri keselamatan kritikal termasuk Pengesanan Objek Asing (FOD) untuk mencegah pemanasan objek logam dan tahap kuasa yang dirundingkan untuk mencegah pengecasan berlebihan.
Matlamat penyerang adalah untuk menggagalkan tingkah laku yang dimaksudkan bagi pengecas wayarles. Andaian teras adalah bahawa penyerang boleh mengawal atau menggantikan penyesuai kuasa (penukar AC-DC) yang membekalkan pengecas. Ini adalah ancaman yang realistik di ruang awam (lapangan terbang, kafe) atau melalui stesen pengecasan yang dikompromi/berniat jahat. Tiada pengubahsuaian fizikal pada pengecas atau peranti diperlukan.
VoltSchemer mengeksploitasi pengasingan yang tidak ideal antara input kuasa dan litar kawalan gegelung pemancar.
Penyerang menjana isyarat bunyi voltan yang direka dengan teliti $V_{noise}(t)$ dan menindihkannya ke atas voltan bekalan DC $V_{dc}$ menggunakan litar yang dibina khas. Bekalan bising ini $V_{supply}(t) = V_{dc} + V_{noise}(t)$ disalurkan kepada pengecas wayarles. Disebabkan oleh gangguan elektromagnetik (EMI) dan had nisbah penolakan bekalan kuasa (PSRR) dalam litar pengecas, bunyi ini merambat ke dan memodulatkan arus dalam gegelung pemancar.
Komunikasi Qi bergantung pada modulasi amplitud isyarat kuasa. Dengan membentuk $V_{noise}(t)$, penyerang boleh meniru atau menulis ganti paket komunikasi yang sah. Bunyi yang disuntik mencipta frekuensi jalur sisi yang mengganggu proses demodulasi pada penerima (telefon), membolehkan suntikan paket Qi berniat jahat atau gangguan terhadap paket yang sah.
Serangan ini boleh dimodelkan sebagai masalah suntikan isyarat. Arus gegelung pemancar $I_{tx}(t)$ adalah fungsi input litar pemacu, yang telah rosak oleh bunyi bekalan. Perwakilan yang dipermudahkan: $I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$, di mana $f$ adalah fungsi pemindahan pengecas, $\alpha$ adalah pekali gandingan yang mewakili kerentanan bunyi, dan $C(t)$ adalah isyarat kawalan yang sah. Penyerang mereka bentuk $V_{noise}(t)$ untuk mencapai $I_{tx}(t)$ berniat jahat yang dikehendaki yang sepadan dengan mesej Qi yang dipalsukan (contohnya, "FOD lulus", "tingkatkan kuasa").
Penyelidikan ini mengkonkritkan ancaman melalui tiga serangan praktikal.
9/9
Pengecas COTS jualan teratas terdedah
3
Vektor serangan berbeza, berbahaya tinggi ditunjukkan
Medan magnet yang dimodulat boleh mendorong voltan kecil dalam litar audio dalaman telefon pintar. Dengan menyandikan arahan suara dalam julat ultrasonik (>20 kHz), VoltSchemer boleh mencetuskan pembantu suara (Google Assistant, Siri) tanpa pengetahuan pengguna, membawa kepada kompromi peranti, eksfiltrasi data, atau kawalan rumah pintar.
Dengan memalsukan paket komunikasi Qi, penyerang boleh mengarahkan pengecas untuk mengabaikan isyarat "Akhir Pemindahan Kuasa" peranti atau menghantar kuasa melebihi had yang dirundingkan. Ini boleh menyebabkan degradasi bateri yang teruk, pembengkakan, atau dalam kes yang melampau, pelarian haba dan kebakaran.
Ini adalah serangan yang paling berbahaya. FOD adalah ciri keselamatan kritikal yang mengesan kehilangan kuasa parasit (contohnya, kepada duit syiling atau kunci) dan mematikan operasi. VoltSchemer boleh menyuntik paket yang melaporkan secara palsu kecekapan pemindahan kuasa yang tinggi, menipu pengecas untuk beroperasi pada kuasa penuh dengan kehadiran objek asing, mencipta bahaya pemanasan setempat yang kuat.
Pasukan menguji 9 pengecas Qi jualan terbaik daripada jenama seperti Anker, Belkin, dan Samsung. Persediaan serangan terdiri daripada bekalan kuasa boleh atur cara untuk menjana $V_{noise}(t)$, pengecas sasaran, dan pelbagai peranti mangsa (telefon pintar, kunci kereta, pemacu USB).
Kesemua 9 pengecas terdedah kepada sekurang-kurangnya satu vektor serangan. Suntikan arahan suara berjaya pada peranti yang diletakkan di atas pengecas. Serangan pengecasan berlebihan berjaya memaksa kitaran pengecasan berterusan. Pintasan FOD berjaya ditunjukkan, memanaskan kunci rumah kepada lebih 280°C (536°F) dalam beberapa minit—risiko pencucuhan api yang jelas.
Rajah 1: Kenaikan Suhu Semasa Serangan Pintasan FOD. Carta garis akan menunjukkan masa pada paksi-X dan suhu (°C) pada paksi-Y. Garisan untuk objek logam (contohnya, kunci) akan menunjukkan peningkatan yang curam, hampir linear dari suhu bilik kepada lebih 280°C dalam masa 3-5 minit apabila FOD dipintas, manakala garisan untuk sesi pengecasan yang sah akan kekal rata atau menunjukkan peningkatan yang sederhana.
Rajah 2: Spektrum Bunyi Voltan untuk Suntikan Arahan. Plot domain frekuensi yang menunjukkan isyarat bunyi yang disuntik penyerang $V_{noise}(f)$. Puncak akan kelihatan dalam jalur ultrasonik (contohnya, 20-24 kHz), sepadan dengan arahan suara yang dimodulat, bersama-sama dengan komponen frekuensi rendah yang digunakan untuk memanipulasi masa paket Qi.
Kes: Kompromi Stesen Pengecasan Awam. Seorang penyerang menggantikan penyesuai kuasa dalam pad pengecasan wayarles awam di lapangan terbang dengan penyesuai yang berniat jahat. Penyesuai itu kelihatan normal tetapi mengandungi mikropengawal yang menjana isyarat VoltSchemer.
Kerangka ini menyerlahkan potensi pelbagai vektor dan automatik serangan dalam senario dunia sebenar.
Kertas kerja ini mencadangkan beberapa pertahanan:
VoltSchemer membuka domain baharu penyelidikan keselamatan perkakasan:
VoltSchemer bukan sekadar pepijat lain; ia adalah kegagalan sistematik dalam model keselamatan pengecasan wayarles. Fokus industri yang sempit terhadap mempertahankan laluan data (yang dikeluarkan dalam wayarles) membutakannya terhadap laluan kuasa fizikal sebagai vektor serangan. Penyelidikan ini membuktikan bahawa dalam sistem siber-fizikal, mana-mana saluran tenaga boleh dijadikan senjata untuk komunikasi dan kawalan—prinsip yang digema dalam kerja terdahulu seperti PowerHammer (eksfiltrasi melalui talian kuasa) tetapi kini digunakan secara merosakkan pada perkakasan keselamatan kritikal. Andaian bahawa "tiada sambungan langsung sama dengan keselamatan yang lebih tinggi" telah dibuktikan salah secara muktamad.
Logik serangan ini elegan dalam kesederhanaannya: 1) Kenal Pasti Saluran: Input kuasa DC adalah saluran yang dipercayai, tidak disahkan. 2) Eksploitasi Gandingan: Manfaatkan ketidaksempurnaan analog yang tidak dapat dielakkan (EMI, PSRR yang lemah) untuk menterjemah bunyi voltan kepada modulasi medan magnet. 3) Gagalkan Protokol: Petakan kawalan ke atas medan magnet ini ke lapisan komunikasi dalam jalur piawaian Qi. 4) Laksanakan Muatan Serangan: Gunakan kawalan ini untuk melanggar tiga jaminan teras pengecasan wayarles: pengasingan data, pemindahan kuasa yang dirundingkan, dan keselamatan objek asing. Aliran dari fenomena fizikal kepada pelanggaran protokol adalah lancar dan sangat berkesan.
Kekuatan: Penyelidikan ini sangat praktikal. Menyerang 9 peranti COTS menunjukkan relevansi dunia sebenar serta-merta, bukan hanya risiko teori. Demonstrasi pelbagai vektor (privasi, integriti, keselamatan) menunjukkan impak yang komprehensif. Serangan ini tidak memerlukan eksploitasi pada bahagian peranti, menjadikannya boleh diskalakan.
Kelemahan & Soalan Terbuka: Walaupun bukti konsep adalah kukuh, kertas kerja ini kurang menekankan keperluan penyerang untuk penalaan khusus model pengecas yang tepat. "Penyesuai kuasa berniat jahat" mesti direka untuk kerentanan bunyi ($\alpha$) model pengecas tertentu, yang memerlukan kejuruteraan balik. Sejauh mana ini boleh diskalakan dalam amalan terhadap ekosistem yang pelbagai? Tambahan pula, perbincangan mengenai langkah pencegahan adalah awal. Adakah pengesahan luar jalur, seperti yang dicadangkan, hanya akan menambah kos dan kerumitan, atau ia satu-satunya penyelesaian jangka panjang yang berdaya maju? Kertas kerja ini boleh melibatkan lebih mendalam dengan halangan ekonomi dan pemiawaian untuk mitigasi.
Untuk industri, masa untuk berpuas hati sudah berakhir. Pengilang mesti segera mengaudit reka bentuk mereka untuk kekebalan bunyi bekalan kuasa, memperlakukan input DC sebagai permukaan serangan yang berpotensi. Pengerasan pada peringkat komponen dengan penapis yang lebih baik adalah penyelesaian jangka pendek yang tidak boleh dirunding. Konsortium Kuasa Wayarles (WPC) mesti memperlakukan ini sebagai isu laluan kritikal untuk spesifikasi Qi seterusnya. Mewajibkan pengesahan isyarat atau semakan integriti untuk paket FOD dan kawalan kuasa adalah penting. Bergantung semata-mata pada komunikasi dalam jalur untuk keselamatan kini terbukti cacat. Pengendali Perusahaan & Tempat Awam harus mengaudit stesen pengecasan awam, memastikan penyesuai kuasa diamankan secara fizikal dan mempertimbangkan peralihan kepada kuasa yang dibekalkan pengguna (contohnya, USB-C PD) untuk pad pengecasan awam. Sebagai seorang penganalisis, saya meramalkan pemeriksaan kawal selia akan menyusul; CPSC (Suruhanjaya Keselamatan Produk Pengguna) dan badan setara di seluruh dunia akan mengambil perhatian terhadap bahaya kebakaran yang ditunjukkan. VoltSchemer telah melukis semula peta permukaan serangan untuk dunia IoT—mengabaikannya adalah liabiliti yang mendalam.