1. 引言

以广泛应用的Qi标准为代表的无线充电,一直被宣传为比有线充电更安全、更便捷的替代方案,很大程度上不受困扰USB连接的数据攻击影响。VoltSchemer研究打破了这一假设,揭示了电力传输链本身存在的基础性漏洞。本文证明,通过调制供给商用现货(COTS)无线充电器的电压,攻击者可以引发有意的电磁干扰(IEMI),从而操控充电器的运行,绕过其安全协议,并实现一系列强大的物理与信息物理攻击。

2. 背景与威胁模型

理解VoltSchemer需要掌握Qi生态系统所认知的安全性以及其引入的新型威胁模型。

2.1 Qi无线充电标准

无线充电联盟(WPC)制定的Qi标准使用近场磁感应进行电力传输。其安全性通过带内通信来保障,即充电器与设备通过调制电力信号本身来交换控制数据包。关键的安全特性包括异物检测(FOD)以防止金属物体过热,以及协商功率级别以防止过充。

2.2 攻击模型与假设

攻击者的目标是颠覆无线充电器的预期行为。核心假设是攻击者能够控制或替换为充电器供电的电源适配器(AC-DC转换器)。这在公共场所(如机场、咖啡馆)或通过被入侵/恶意的充电站是现实的威胁。无需对充电器或设备进行物理修改。

3. VoltSchemer攻击方法

VoltSchemer利用了电源输入与发射线圈控制电路之间非理想的隔离性。

3.1 电压噪声注入向量

攻击者生成精心设计的电压噪声信号 $V_{noise}(t)$,并使用特制电路将其叠加到直流供电电压 $V_{dc}$ 上。这个带有噪声的供电 $V_{supply}(t) = V_{dc} + V_{noise}(t)$ 被馈送到无线充电器。由于充电器电路中的电磁干扰(EMI)和电源抑制比(PSRR)限制,该噪声会传播到发射线圈并调制其电流。

3.2 利用带内通信

Qi通信依赖于电力信号的幅度调制。通过塑造 $V_{noise}(t)$,攻击者可以模仿或覆盖合法的通信数据包。注入的噪声会产生边带频率,干扰接收端(手机)的解调过程,从而允许注入恶意的Qi数据包或破坏合法的数据包。

3.3 技术细节与数学模型

该攻击可建模为一个信号注入问题。发射线圈电流 $I_{tx}(t)$ 是驱动器电路输入的函数,而该输入受到电源噪声的干扰。一个简化的表示是:$I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$,其中 $f$ 是充电器的传递函数,$\alpha$ 是代表噪声敏感性的耦合系数,$C(t)$ 是合法的控制信号。攻击者设计 $V_{noise}(t)$ 以实现期望的恶意 $I_{tx}(t)$,该电流对应于伪造的Qi消息(例如,“FOD通过”、“提高功率”)。

4. 已演示的攻击向量

该研究通过三种实际攻击具体化了这一威胁。

攻击成功率

9/9

热销的COTS充电器存在漏洞

关键影响

3

演示了三种不同的高严重性攻击向量

4.1 无声语音指令注入

调制后的磁场可以在智能手机的内部音频电路中感应出微小电压。通过在超声波范围(>20 kHz)编码语音指令,VoltSchemer可以在用户不知情的情况下触发语音助手(Google Assistant、Siri),导致设备被入侵、数据外泄或智能家居被控制。

4.2 通过过充/过热造成设备损坏

通过伪造Qi通信数据包,攻击者可以指示充电器忽略设备的“结束电力传输”信号,或提供超出协商限制的电力。这可能导致严重的电池退化、鼓包,或在极端情况下引发热失控和火灾。

4.3 绕过异物检测(FOD)

这是最隐蔽的攻击。FOD是一项关键安全功能,用于检测寄生功率损耗(例如,对硬币或钥匙)并关闭充电。VoltSchemer可以注入虚假报告高功率传输效率的数据包,诱骗充电器在有异物存在的情况下全功率运行,从而造成强烈的局部过热危险。

5. 实验结果与评估

5.1 测试设置与设备

研究团队测试了来自Anker、Belkin、Samsung等品牌的9款热销Qi充电器。攻击设置包括一个可编程电源(用于生成 $V_{noise}(t)$)、目标充电器以及各种受害设备(智能手机、钥匙扣、U盘)。

5.2 成功率与影响指标

所有9款充电器都至少对一种攻击向量易受攻击。语音指令注入在放置在充电器上的设备上取得成功。过充攻击能够强制进行连续充电循环。FOD绕过被成功演示,在几分钟内将一把家用钥匙加热到超过280°C(536°F)——这显然是火灾点燃风险。

5.3 图表与数据可视化

图1:FOD绕过攻击期间的温升。 折线图的X轴为时间,Y轴为温度(°C)。当FOD被绕过时,金属物体(例如钥匙)的曲线将在3-5分钟内从室温急剧、近乎线性地上升到超过280°C,而合法充电会话的曲线将保持平坦或显示轻微上升。

图2:用于指令注入的电压噪声频谱。 频域图显示了攻击者注入的噪声信号 $V_{noise}(f)$。在超声波频段(例如20-24 kHz)可见峰值,对应于调制的语音指令,同时还有用于操控Qi数据包时序的低频分量。

6. 分析框架与案例示例

案例:公共充电站入侵。 攻击者将机场公共无线充电垫的电源适配器替换为恶意适配器。该适配器看起来正常,但内含一个生成VoltSchemer信号的微控制器。

  1. 侦察: 适配器被动监控功耗,以识别智能手机何时放置在充电垫上。
  2. 利用: 检测到设备后,执行预编程的攻击序列:1) 绕过FOD以启用全功率。2) 注入无声语音指令:“嘿,Google,将我最后一张照片发送到[攻击者号码]。”
  3. 影响: 用户隐私被侵犯。同时,手机存在下的持续高功率传输会提高设备温度,造成不适和潜在的电池压力。

此框架突显了该攻击在现实场景中多向量、自动化的潜力。

7. 应对措施与缓解策略

论文提出了几种防御措施:

  • 增强电源滤波: 在充电器输入端实现更强大的EMI滤波器和稳压器,以衰减高频噪声。
  • 带外认证: 为FOD状态等关键安全信号添加独立的、经过认证的通信通道(例如NFC、蓝牙低功耗),正如一些关于保护信息物理系统的学术著作中所提议的。
  • 信号完整性检查: 在Qi通信协议中实施一致性检查,以检测表明篡改的非自然信号调制。
  • 物理篡改证据: 对于公共安装,固定电源适配器以防止轻易更换。

8. 未来应用与研究方向

VoltSchemer开启了硬件安全研究的新领域:

  • 扩展目标分析: 将类似原理应用于其他非接触式电力/通信系统(例如RFID、NFC、电动汽车无线充电)。电源噪声耦合这一根本性问题可能普遍存在。
  • AI驱动的攻击合成: 使用强化学习自动发现针对新充电器型号的最优 $V_{noise}(t)$ 波形,减少手动逆向工程的需求。
  • 推动标准化: 这项工作为WPC等标准机构提供了关键数据,以在未来Qi规范(例如Qi v3.0)中强制要求更严格的电源噪声抗扰度(PSRR)和信号认证。
  • 防御工具开发: 创建可以扫描无线充电器对电压噪声注入敏感性的诊断工具,类似于软件漏洞扫描器。

9. 参考文献

  1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
  2. Wireless Power Consortium. (2023). Qi Wireless Power Transfer System Specification. Retrieved from https://www.wirelesspowerconsortium.com
  3. Zhang, K., et al. (2019). PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines. IEEE Transactions on Information Forensics and Security.
  4. Guri, M. (2020). Power-Supplay: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers. IEEE Access.
  5. NIST. (2020). Framework for Cyber-Physical Systems. National Institute of Standards and Technology. Retrieved from https://www.nist.gov/el/cyber-physical-systems

10. 专家分析与批判性评论

核心见解

VoltSchemer不仅仅是另一个漏洞;它是无线充电安全模型的系统性缺陷。行业对防御数据路径(在无线充电中被移除)的短视关注,使其忽视了物理电力路径作为攻击向量的可能性。这项研究证明,在信息物理系统中,任何能量通道都可以被武器化用于通信和控制——这一原则在早期的研究如PowerHammer(通过电力线外泄数据)中已有体现,但现在被破坏性地应用于安全关键硬件。“没有直接连接就等于更高安全性”的假设已被明确证伪。

逻辑流程

攻击逻辑的简洁性堪称优雅:1) 识别通道: 直流电源输入是一个受信任但未经认证的通道。2) 利用耦合: 利用不可避免的模拟缺陷(EMI、低PSRR)将电压噪声转换为磁场调制。3) 颠覆协议: 将这种对磁场的控制映射到Qi标准的带内通信层。4) 执行载荷: 利用这种控制来违反无线充电的三个核心保证:数据隔离、协商电力传输和异物安全。从物理现象到协议破坏的流程是无缝且极其有效的。

优势与不足

优势: 该研究极具实践性。攻击9款COTS设备展示了其直接、现实世界的相关性,而不仅仅是理论风险。多向量演示(隐私、完整性、安全性)显示了全面的影响。攻击无需利用设备端漏洞,使其具有可扩展性。

不足与开放性问题: 虽然概念验证是可靠的,但论文淡化了攻击者需要对特定充电器进行精确调校的需求。“恶意电源适配器”必须针对特定充电器型号的噪声敏感性($\alpha$)进行工程设计,这需要逆向工程。在实践中,面对多样化的生态系统,其可扩展性如何?此外,对应对措施的讨论是初步的。所建议的带外认证是否会仅仅增加成本和复杂性,还是唯一可行的长期解决方案?论文本可以更深入地探讨缓解措施面临的经济和标准化障碍。

可操作的见解

对于行业而言,自满的时代已经结束。制造商必须立即审核其设计对电源噪声的抗扰度,将直流输入视为潜在的攻击面。使用更好的滤波器进行组件级加固是短期内必须采取的修复措施。无线充电联盟(WPC)必须将此视为下一代Qi规范的关键路径问题。强制要求对FOD和功率控制数据包进行信号认证或完整性检查至关重要。仅依赖带内通信来保障安全已被证明存在缺陷。企业与公共场所运营商应审核公共充电站,确保电源适配器物理安全,并考虑为公共充电垫转向用户自备电源(例如USB-C PD)。作为一名分析师,我预测监管审查将随之而来;美国消费品安全委员会(CPSC)及全球同等机构将注意到所演示的火灾危险。VoltSchemer已经重新绘制了物联网世界的攻击面地图——忽视它将带来巨大的责任。