O carregamento sem fio, exemplificado pelo difundido padrão Qi, tem sido comercializado como uma alternativa segura e conveniente ao carregamento por cabo, em grande parte imune aos ataques baseados em dados que afetam as conexões USB. A pesquisa VoltSchemer destrói essa suposição, revelando uma vulnerabilidade fundamental na própria cadeia de fornecimento de energia. Este artigo demonstra que, ao modular a tensão fornecida a um carregador sem fio comercial (COTS), um atacante pode induzir interferência eletromagnética intencional (IEMI) que manipula a operação do carregador, contornando seus protocolos de segurança e permitindo uma série de ataques físicos e ciberfísicos poderosos.
Compreender o VoltSchemer requer uma compreensão da segurança percebida do ecossistema Qi e do novo modelo de ameaça introduzido.
O padrão Qi do Wireless Power Consortium (WPC) usa indução magnética de campo próximo para transferência de energia. A segurança é aplicada através da comunicação em banda, onde o carregador e o dispositivo trocam pacotes de controle modulando o próprio sinal de energia. Características críticas de segurança incluem a Deteção de Objetos Estranhos (FOD) para evitar o aquecimento de objetos metálicos e níveis de potência negociados para evitar sobrecarga.
O objetivo do atacante é subverter o comportamento pretendido do carregador sem fio. O pressuposto central é que o atacante pode controlar ou substituir o adaptador de energia (conversor AC-DC) que alimenta o carregador. Esta é uma ameaça realista em espaços públicos (aeroportos, cafés) ou através de estações de carregamento comprometidas/maliciosas. Nenhuma modificação física ao carregador ou dispositivo é necessária.
O VoltSchemer explora o isolamento não ideal entre a entrada de energia e o circuito de controle da bobina transmissora.
O atacante gera um sinal de ruído de tensão cuidadosamente elaborado $V_{noise}(t)$ e o sobrepõe à tensão de alimentação DC $V_{dc}$ usando um circuito construído para o efeito. Esta alimentação ruidosa $V_{supply}(t) = V_{dc} + V_{noise}(t)$ é fornecida ao carregador sem fio. Devido à interferência eletromagnética (EMI) e às limitações da taxa de rejeição da fonte de alimentação (PSRR) no circuito do carregador, este ruído propaga-se e modula a corrente na bobina transmissora.
A comunicação Qi baseia-se na modulação de amplitude do sinal de energia. Ao moldar $V_{noise}(t)$, o atacante pode imitar ou sobrescrever pacotes de comunicação legítimos. O ruído injetado cria frequências de banda lateral que interferem no processo de desmodulação no recetor (telemóvel), permitindo a injeção de pacotes Qi maliciosos ou a interrupção dos legítimos.
O ataque pode ser modelado como um problema de injeção de sinal. A corrente da bobina transmissora $I_{tx}(t)$ é uma função da entrada do circuito de acionamento, que é corrompida pelo ruído da fonte de alimentação. Uma representação simplificada: $I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$, onde $f$ é a função de transferência do carregador, $\alpha$ é o coeficiente de acoplamento que representa a suscetibilidade ao ruído, e $C(t)$ são os sinais de controlo legítimos. O atacante projeta $V_{noise}(t)$ para alcançar uma $I_{tx}(t)$ maliciosa desejada que corresponda a mensagens Qi forjadas (por exemplo, "FOD aprovado", "aumentar potência").
A pesquisa concretiza a ameaça através de três ataques práticos.
9/9
Carregadores COTS mais vendidos vulneráveis
3
Vetores de ataque distintos e de alta gravidade demonstrados
O campo magnético modulado pode induzir pequenas tensões no circuito de áudio interno de um smartphone. Ao codificar comandos de voz na faixa ultrassónica (>20 kHz), o VoltSchemer pode ativar assistentes de voz (Google Assistant, Siri) sem o conhecimento do utilizador, levando ao comprometimento do dispositivo, exfiltração de dados ou controlo da casa inteligente.
Ao forjar pacotes de comunicação Qi, o atacante pode instruir o carregador a ignorar o sinal de "Fim da Transferência de Energia" do dispositivo ou a fornecer energia além dos limites negociados. Isto pode causar degradação severa da bateria, inchaço ou, em casos extremos, fuga térmica e incêndio.
Este é o ataque mais insidioso. O FOD é uma característica de segurança crítica que deteta perda de energia parasita (por exemplo, para uma moeda ou chave) e desliga-se. O VoltSchemer pode injetar pacotes que relatam falsamente uma alta eficiência de transferência de energia, enganando o carregador para operar a potência máxima com um objeto estranho presente, criando um perigo intenso de aquecimento localizado.
A equipa testou 9 carregadores Qi mais vendidos de marcas como Anker, Belkin e Samsung. A configuração de ataque consistia numa fonte de alimentação programável para gerar $V_{noise}(t)$, o carregador alvo e vários dispositivos vítima (smartphones, chaveiros, unidades USB).
Todos os 9 carregadores eram suscetíveis a pelo menos um vetor de ataque. A injeção de comandos de voz teve sucesso em dispositivos colocados no carregador. Os ataques de sobrecarga conseguiram forçar ciclos de carregamento contínuos. O bypass do FOD foi demonstrado com sucesso, aquecendo uma chave de casa a mais de 280°C (536°F) em minutos—um claro risco de ignição de fogo.
Figura 1: Aumento de Temperatura durante o Ataque de Bypass do FOD. Um gráfico de linhas mostraria o tempo no eixo X e a temperatura (°C) no eixo Y. A linha para um objeto metálico (por exemplo, uma chave) mostraria um aumento acentuado, quase linear, da temperatura ambiente para mais de 280°C em 3-5 minutos quando o FOD é contornado, enquanto a linha para uma sessão de carregamento legítima permaneceria plana ou mostraria um ligeiro aumento.
Figura 2: Espectro de Ruído de Tensão para Injeção de Comando. Um gráfico no domínio da frequência mostrando o sinal de ruído injetado pelo atacante $V_{noise}(f)$. Picos seriam visíveis na banda ultrassónica (por exemplo, 20-24 kHz), correspondendo ao comando de voz modulado, juntamente com componentes de baixa frequência usados para manipular o timing dos pacotes Qi.
Caso: Comprometimento de Estação de Carregamento Pública. Um atacante substitui o adaptador de energia numa base de carregamento sem fio pública num aeroporto por um malicioso. O adaptador parece normal, mas contém um microcontrolador que gera sinais VoltSchemer.
Esta estrutura destaca o potencial multivector e automatizado do ataque num cenário do mundo real.
O artigo sugere várias defesas:
O VoltSchemer abre um novo domínio de pesquisa em segurança de hardware:
O VoltSchemer não é apenas mais um bug; é uma falha sistémica no modelo de segurança do carregamento sem fio. O foco míope da indústria em defender o caminho de dados (removido no sem fio) cegou-a para o caminho de energia física como um vetor de ataque. Esta pesquisa prova que, em sistemas ciberfísicos, qualquer canal de energia pode ser transformado numa arma para comunicação e controlo—um princípio ecoado em trabalhos anteriores como o PowerHammer (exfiltração via linhas de energia), mas agora aplicado de forma destrutiva a hardware crítico para a segurança. A suposição de que "nenhuma ligação direta equivale a maior segurança" foi decisivamente desmascarada.
A lógica do ataque é elegante na sua simplicidade: 1) Identificar o Canal: A entrada de energia DC é um conduto confiável, mas não autenticado. 2) Explorar o Acoplamento: Aproveitar imperfeições analógicas inevitáveis (EMI, PSRR deficiente) para traduzir ruído de tensão em modulação do campo magnético. 3) Subverter o Protocolo: Mapear este controlo sobre o campo magnético para a camada de comunicação em banda do padrão Qi. 4) Executar Payloads: Usar este controlo para violar as três garantias centrais do carregamento sem fio: isolamento de dados, transferência de energia negociada e segurança contra objetos estranhos. O fluxo do fenómeno físico para a violação do protocolo é contínuo e terrivelmente eficaz.
Pontos Fortes: A pesquisa é excecionalmente prática. Atacar 9 dispositivos COTS demonstra relevância imediata e do mundo real, não apenas risco teórico. A demonstração multivector (privacidade, integridade, segurança) mostra um impacto abrangente. O ataque não requer nenhuma exploração no lado do dispositivo, tornando-o escalável.
Falhas e Questões em Aberto: Embora a prova de conceito seja sólida, o artigo subestima a necessidade do atacante de um ajuste preciso específico para cada carregador. O "adaptador de energia malicioso" deve ser projetado para a suscetibilidade ao ruído ($\alpha$) de um modelo específico de carregador, o que requer engenharia reversa. Quão escalável é isto na prática contra um ecossistema diversificado? Além disso, a discussão sobre contramedidas é preliminar. A autenticação fora de banda, como sugerida, simplesmente adicionaria custo e complexidade, ou é a única solução viável a longo prazo? O artigo poderia envolver-se mais profundamente com os obstáculos económicos e de padronização para a mitigação.
Para a indústria, o tempo da complacência acabou. Fabricantes devem auditar imediatamente os seus projetos quanto à imunidade ao ruído da fonte de alimentação, tratando a entrada DC como uma superfície de ataque potencial. O endurecimento a nível de componente com melhores filtros é uma correção de curto prazo não negociável. O Wireless Power Consortium (WPC) deve tratar isto como uma questão crítica para a próxima especificação Qi. É essencial tornar obrigatória a autenticação de sinal ou verificações de integridade para pacotes de controlo de FOD e potência. Confiar apenas na comunicação em banda para segurança está agora provado como falho. Operadores de Empresas e Locais Públicos devem auditar estações de carregamento públicas, garantindo que os adaptadores de energia estão fisicamente protegidos e considerando uma mudança para energia fornecida pelo utilizador (por exemplo, USB-C PD) para bases de carregamento públicas. Como analista, prevejo que o escrutínio regulatório seguirá; a CPSC (Consumer Product Safety Commission) e organismos equivalentes globalmente tomarão nota do perigo de incêndio demonstrado. O VoltSchemer redesenhou o mapa da superfície de ataque para o mundo da IoT—ignorá-lo é uma profunda responsabilidade.