VoltSchemer：利用电源电压噪声攻击无线充电器

1. 引言

以广泛普及的Qi标准为代表的无线充电，通过消除物理连接器，承诺了便利性和更高的安全性。其市场正以25.8%的年复合增长率增长。然而，本文“VoltSchemer”通过揭露关键漏洞，打破了这种被感知的安全泡沫。核心发现是，从被入侵的电源引入的、作为电压噪声的有意电磁干扰，可以在系统中传播并劫持充电器与设备之间的带内通信信道。这使得攻击者无需任何物理修改，即可完全控制商用现货无线充电器，从而实施一系列强大的攻击。

2. 背景与相关工作

2.1. 无线充电与Qi标准

Qi无线充电利用发射器线圈与接收器线圈之间的电感耦合。用于控制（例如，功率需求、异物检测信号）的通信是通过对功率载波信号进行带内调制实现的，这与拥有独立数据线的有线充电不同。无线充电联盟强制执行异物检测等安全协议，以防止金属物体发热。

2.2. 先前对充电系统的攻击

先前的研究（例如MACTANS、Juice Jacking）主要针对有线充电，利用USB数据线安装恶意软件或注入击键。无线充电由于缺乏直接的数据通路，曾被认为更安全。VoltSchemer通过攻击功率和通信信道本身，从根本上挑战了这一假设。

3. 威胁模型与攻击概述

3.1. 攻击者能力

攻击者需要控制为无线充电器供电的交流-直流电源适配器。这可能是恶意的公共充电站、被入侵的智能插座或被篡改的适配器。无需对充电器或设备进行任何修改。

3.2. 核心攻击原理：电压噪声注入

攻击者将精心设计的电压噪声（$V_{noise}(t)$）注入直流电源线。该噪声通过电磁干扰耦合到充电器的电路中，最终调制由发射器线圈产生的磁场。由于Qi通信依赖于调制同一磁场，攻击者可以注入恶意的控制数据包，冒充充电器或设备。

4. VoltSchemer攻击向量

4.1. 注入不可听见的语音指令

通过调制功率信号，攻击者可以使充电器内部组件（线圈、电容器）产生超声波频率的声学信号。这些信号可以被智能手机的麦克风解调，从而在用户不知情的情况下，在语音助手（例如Siri、Google Assistant）上执行语音指令。

4.2. 通过过充/过热损坏设备

攻击者可以伪造Qi通信数据包，指示充电器提供超出设备协商限制的过量功率，可能通过过压或热应力损坏电池或电路。

4.3. 绕过异物检测

这是最关键的攻击。当金属物体（例如钥匙、硬币或NFC卡）放在充电板上时，攻击者可以向充电器发送伪造的异物检测“安全”信号。充电器被欺骗，认为没有异物存在，继续以全功率运行，从而产生危险的涡流，可将物体加热到燃点温度，或使贵重物品消磁/熔化。

5. 技术细节与数学模型

5.1. 信号传播与电磁干扰耦合

注入的电压噪声 $V_{noise}(t)$ 通过直流总线传播。非理想组件（走线、电容器）充当天线，将噪声耦合到充电器的敏感模拟和开关电路中。这种耦合可以建模为一个不期望的传递函数 $H_{coupling}(f)$： $$V_{induced}(f) = H_{coupling}(f) \cdot V_{noise}(f)$$ 其中 $V_{induced}(f)$ 是出现在关键节点上的噪声。

5.2. 为带内通信调制功率信号

Qi通信使用幅移键控。接收设备调制负载，以在发射器线圈电压上产生幅度变化。攻击者诱导的噪声 $V_{induced}(t)$ 可以模仿这种调制。为了注入比特‘1’，攻击者叠加一个特定的频率分量，以引起可检测的幅度下降。所需的噪声轮廓必须匹配Qi数据包结构（前导码、头部、消息、校验和）。

6. 实验设置与结果

6.1. 测试设备与成功率

作者成功地在来自Belkin、Anker和三星等品牌的9款热销商用现货Qi充电器中的全部9款上演示了所有三种攻击。这100%的成功率突显了该漏洞的普遍性。

6.2. 关键性能指标与观察结果

图表描述（设想）： 条形图将显示“各充电器型号攻击成功率”，所有型号均接近100%。折线图将绘制在绕过异物检测攻击期间的“诱导物体温度 vs. 时间”，显示一把家用钥匙的温度急剧上升至超过280°C，证明了火灾风险。另一张图将说明信号链：恶意电源 → 注入的 $V_{noise}$ → 充电器PCB → 发射器线圈调制 → 恶意磁场 → 目标设备/物体。

实验证实了能够注入有效的Qi数据包、强制持续高功率模式，并在几分钟内将异物加热到危险水平。

7. 分析框架与案例研究

评估无线充电器安全性的框架：

1. 信号完整性分析： 审计电源输入级对传导性电磁干扰的敏感性。测量充电器关键集成电路的电源抑制比。
2. 通信协议模糊测试： 系统地注入格式错误和超出规范的电压噪声模式，以测试充电器微控制器上Qi协议解析器的鲁棒性。
3. 侧信道监控： 在正常操作期间监控非预期的侧信道（声学、热、功率）以建立基线，然后在攻击模拟期间检测异常。

8. 应对措施与缓解策略

• 硬件层面： 在直流电源输入端实施稳健的滤波和屏蔽。使用隔离式电源转换器拓扑。为关键指令（例如，异物检测状态、功率控制）加入基于硬件的包认证。
• 固件/协议层面： 如作者所建议，为Qi数据包添加消息认证码或数字签名。实施合理性检查（例如，用温度传感器交叉验证功率请求）。
• 用户意识： 避免在公共、不可信的无线充电器上为贵重设备充电。注意充电过程中的异常发热。

9. 未来应用与研究展望

• 扩大目标范围： 研究对其他感应系统（例如，RFID读卡器、电动汽车无线充电）的类似电压噪声攻击。
• AI增强的攻击生成： 使用强化学习来发现针对不同充电器硬件的最优噪声波形，类似于应用于硬件的机器学习中的对抗性攻击。
• 标准演进： 向无线充电联盟施压，要求在未来Qi规范中强制实施安全增强措施，可能纳入适用于低功耗、实时控制的轻量级加密协议。
• 防御工具开发： 为制造商开发自动化测试框架，以评估其充电器对VoltSchemer式攻击的抵御能力。

10. 参考文献

1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
2. Wireless Power Consortium. Qi Wireless Power Transfer System Specification.
3. Clark, S., et al. (2013). MACTANS: Injecting Malware into iOS Devices via Malicious Chargers. USENIX Security.
4. Zhang, K., et al. (2021). Learning to Listen: A Neural Network for Inaudible Voice Recognition. IEEE S&P.
5. NIST. (2020). Guidelines for Managing the Security of Mobile Devices in the Enterprise (SP 800-124 Rev. 2).

11. 专家分析与批判性评论