VoltSchemer：利用電壓噪音攻擊無線充電器

1. 簡介

以廣泛應用嘅Qi標準為代表嘅無線充電，透過消除實體連接器，承諾提供便利同更高安全性。其市場正以25.8%嘅複合年增長率增長。然而，呢份名為「VoltSchemer」嘅論文，透過揭露關鍵漏洞，打破咗呢個被認為安全嘅泡沫。核心發現係，從受損電源引入嘅有意電磁干擾（IEMI），以電壓噪音嘅形式，可以喺系統中傳播並劫持充電器同裝置之間嘅帶內通訊頻道。呢樣嘢令攻擊者能夠完全控制商用現成（COTS）無線充電器，而無需任何物理改裝，從而實現一系列強大攻擊。

2. 背景與相關研究

2.1. 無線充電與Qi標準

Qi無線充電利用發射器（Tx）同接收器（Rx）線圈之間嘅電感耦合。控制通訊（例如，電力需求、FOD信號）係透過對電源載波信號進行帶內調製來實現，唔同於有線充電有獨立嘅數據線路。無線充電聯盟（WPC）執行安全協議，例如異物檢測（FOD），以防止金屬物體過熱。

2.2. 先前對充電系統嘅攻擊

先前嘅研究（例如MACTANS、Juice Jacking）集中喺有線充電，利用USB數據線安裝惡意軟件或注入按鍵操作。由於缺乏直接數據路徑，無線充電被認為更安全。VoltSchemer透過攻擊電源同通訊頻道本身，從根本上挑戰呢個假設。

3. 威脅模型與攻擊概述

3.1. 攻擊者能力

攻擊者需要控制為無線充電器供電嘅交流-直流電源適配器。呢個可能係一個惡意嘅公共充電站、一個受入侵嘅智能插頭，或者一個被篡改嘅適配器。無需改裝充電器或裝置。

3.2. 核心攻擊原理：電壓噪音注入

攻擊者將精心設計嘅電壓噪音（$V_{noise}(t)$）注入直流電源線。呢啲噪音透過電磁干擾（EMI）耦合到充電器嘅電路中，最終調製由Tx線圈產生嘅磁場。由於Qi通訊依賴於調製同一個磁場，攻擊者可以注入惡意控制封包，冒充充電器或裝置。

4. VoltSchemer攻擊向量

4.1. 注入聽唔到嘅語音指令

透過調製電源信號，攻擊者可以從充電器內部組件（線圈、電容器）產生超聲頻率嘅聲學信號。呢啲信號可以被智能手機嘅麥克風解調，從而在語音助手（例如Siri、Google Assistant）上執行語音指令，而用戶無法察覺。

4.2. 透過過度充電/過熱損壞裝置

攻擊者可以偽造Qi通訊封包，指示充電器提供超出裝置協商限制嘅過量電力，可能透過過電壓或熱應力損壞電池或電路。

4.3. 繞過異物檢測 (FOD)

呢個係最關鍵嘅攻擊。當有金屬物體（例如鎖匙、硬幣或NFC卡）喺充電板上時，攻擊者可以向充電器發送偽造嘅FOD「安全」信號。充電器被欺騙，以為冇異物存在，繼續以全功率運行，從而產生危險嘅渦電流，可以將物體加熱到燃點溫度，或者消磁/熔化貴重物品。

5. 技術細節與數學模型

5.1. 信號傳播與電磁干擾耦合

注入嘅電壓噪音 $V_{noise}(t)$ 透過直流母線傳播。非理想組件（走線、電容器）充當天線，將呢啲噪音耦合到充電器嘅敏感模擬同開關電路中。耦合可以建模為一個唔需要嘅傳遞函數 $H_{coupling}(f)$： $$V_{induced}(f) = H_{coupling}(f) \cdot V_{noise}(f)$$ 其中 $V_{induced}(f)$ 係出現喺關鍵節點上嘅噪音。

5.2. 為帶內通訊調製電源信號

Qi通訊使用振幅偏移調製（ASK）。Rx裝置調製負載，喺Tx線圈電壓上產生振幅變化。攻擊者誘導嘅噪音 $V_{induced}(t)$ 可以模仿呢種調製。為咗注入一個位元『1』，攻擊者疊加一個特定頻率分量，以引起可檢測嘅振幅下降。所需嘅噪音輪廓必須匹配Qi封包結構（前導碼、標頭、訊息、校驗和）。

6. 實驗設置與結果

6.1. 測試裝置與成功率

作者成功喺9款中嘅9款最暢銷COTS Qi充電器（品牌包括Belkin、Anker同Samsung）上演示咗所有三種攻擊。呢個100%嘅成功率突顯咗漏洞嘅普遍性。

6.2. 關鍵性能指標與觀察結果

圖表描述（想像）： 一個柱狀圖會顯示「每個充電器型號嘅攻擊成功率」，全部接近100%。一條線圖會繪製FOD繞過攻擊期間嘅「誘導物體溫度 vs. 時間」，顯示鎖匙嘅溫度急升至超過280°C，證明有火災風險。另一張圖會說明信號鏈：惡意電源 → 注入嘅 $V_{noise}$ → 充電器PCB（電磁干擾耦合） → Tx線圈調製 → 惡意磁場 → 目標裝置/物體。

實驗證實咗能夠注入有效Qi封包、強制持續高功率模式，並喺幾分鐘內將異物加熱到危險水平。

7. 分析框架與案例研究

評估無線充電器安全性嘅框架：

1. 信號完整性分析： 審核電源輸入級對傳導電磁干擾嘅敏感性。測量充電器關鍵IC嘅電源抑制比（PSRR）。
2. 通訊協議模糊測試： 系統地注入格式錯誤同超出規格嘅電壓噪音模式，以測試充電器微控制器上Qi協議解析器嘅穩健性。
3. 側信道監控： 喺正常操作期間監控意外嘅側信道（聲學、熱、電源）以建立基線，然後喺攻擊模擬期間檢測異常。

8. 對策與緩解策略

• 硬件層面： 喺直流電源輸入端實施穩健嘅濾波同屏蔽。使用隔離式電源轉換器拓撲。為關鍵指令（例如FOD狀態、電力控制）加入基於硬件嘅封包認證。
• 韌體/協議層面： 按照作者建議，為Qi封包添加訊息認證碼（MAC）或數位簽章。實施合理性檢查（例如，用溫度感測器交叉驗證電力請求）。
• 用戶意識： 避免為貴重裝置使用公共、不可信嘅無線充電器。注意充電期間嘅異常發熱。

9. 未來應用與研究方向

• 擴大目標範圍： 研究對其他感應系統（例如RFID讀取器、電動車無線充電）嘅類似電壓噪音攻擊。
• AI增強攻擊生成： 使用強化學習來發現針對唔同充電器硬件嘅最佳噪音波形，類似於應用於硬件嘅機器學習對抗攻擊。
• 標準演進： 向WPC施壓，要求喺未來Qi規範中強制實施安全增強功能，可能加入適合低功耗、實時控制嘅輕量級加密協議。
• 防禦工具開發： 為製造商開發自動化測試框架，以評估其充電器對VoltSchemer式攻擊嘅抵禦能力。

10. 參考文獻

1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
2. Wireless Power Consortium. Qi Wireless Power Transfer System Specification.
3. Clark, S., et al. (2013). MACTANS: Injecting Malware into iOS Devices via Malicious Chargers. USENIX Security.
4. Zhang, K., et al. (2021). Learning to Listen: A Neural Network for Inaudible Voice Recognition. IEEE S&P.
5. NIST. (2020). Guidelines for Managing the Security of Mobile Devices in the Enterprise (SP 800-124 Rev. 2).

11. 專家分析與評論