1. 簡介

以廣泛應用嘅Qi標準為代表嘅無線充電,一直被宣傳為比有線充電更安全同方便嘅替代方案,主要係因為佢唔會受到困擾USB連接嘅數據攻擊影響。VoltSchemer研究打破咗呢個假設,揭示咗供電鏈本身存在根本性漏洞。本文展示,透過調製供應畀商用現成(COTS)無線充電器嘅電壓,攻擊者可以引發故意電磁干擾(IEMI),從而操控充電器嘅運作,繞過其安全協議,並實現一系列強大嘅物理同網絡物理攻擊。

2. 背景與威脅模型

要理解VoltSchemer,需要掌握Qi生態系統嘅感知安全性同引入嘅新威脅模型。

2.1 Qi無線充電標準

無線充電聯盟(WPC)制定嘅Qi標準使用近場磁感應進行電力傳輸。安全性透過帶內通訊來執行,即充電器同裝置透過調製電力信號本身來交換控制封包。關鍵安全功能包括異物偵測(FOD)以防止金屬物件過熱,以及協商功率級別以防止過度充電。

2.2 攻擊模型與假設

攻擊者嘅目標係顛覆無線充電器嘅預期行為。核心假設係攻擊者可以控制或更換供應畀充電器嘅電源適配器(AC-DC轉換器)。呢個係公共空間(機場、咖啡店)或透過受感染/惡意充電站實現嘅現實威脅。無需對充電器或裝置進行物理改動。

3. VoltSchemer攻擊方法

VoltSchemer利用電源輸入同發射線圈控制電路之間非理想嘅隔離。

3.1 電壓噪音注入途徑

攻擊者產生一個精心設計嘅電壓噪音信號 $V_{noise}(t)$,並使用特製電路將其疊加到直流供電電壓 $V_{dc}$ 上。呢個帶噪音嘅電源 $V_{supply}(t) = V_{dc} + V_{noise}(t)$ 被輸入到無線充電器。由於充電器電路中存在電磁干擾(EMI)同電源抑制比(PSRR)限制,呢啲噪音會傳播到發射線圈並調製其電流。

3.2 利用帶內通訊

Qi通訊依賴電力信號嘅振幅調製。透過塑造 $V_{noise}(t)$,攻擊者可以模仿或覆蓋合法通訊封包。注入嘅噪音會產生邊帶頻率,干擾接收端(手機)嘅解調過程,從而允許注入惡意Qi封包或中斷合法封包。

3.3 技術細節與數學模型

攻擊可以被建模為信號注入問題。發射線圈電流 $I_{tx}(t)$ 係驅動電路輸入嘅函數,而該輸入會受到電源噪音嘅影響。一個簡化表示為:$I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$,其中 $f$ 係充電器嘅傳遞函數,$\alpha$ 係代表噪音敏感度嘅耦合係數,而 $C(t)$ 係合法控制信號。攻擊者設計 $V_{noise}(t)$ 以實現對應於偽造Qi訊息(例如「FOD通過」、「增加功率」)嘅期望惡意 $I_{tx}(t)$。

4. 已展示嘅攻擊途徑

研究透過三種實際攻擊具體化咗呢個威脅。

攻擊成功率

9/9

暢銷COTS充電器存在漏洞

關鍵影響

3

展示咗三種截然不同、高嚴重性嘅攻擊途徑

4.1 無聲語音指令注入

調製後嘅磁場可以喺智能手機內部音頻電路中感應出微小電壓。透過將語音指令編碼喺超聲波範圍(>20 kHz),VoltSchemer可以在用戶不知情嘅情況下觸發語音助手(Google Assistant、Siri),導致裝置受損、數據外洩或智能家居控制。

4.2 透過過度充電/過熱損壞裝置

透過偽造Qi通訊封包,攻擊者可以指示充電器忽略裝置嘅「結束電力傳輸」信號,或者提供超出協商限制嘅電力。呢個會導致嚴重嘅電池退化、膨脹,或者喺極端情況下引發熱失控同火災。

4.3 繞過異物偵測 (FOD)

呢個係最陰險嘅攻擊。FOD係一個關鍵安全功能,用於偵測寄生功率損耗(例如對硬幣或鑰匙)並關閉充電器。VoltSchemer可以注入錯誤報告高電力傳輸效率嘅封包,欺騙充電器喺有異物存在嘅情況下以全功率運作,造成強烈嘅局部過熱危險。

5. 實驗結果與評估

5.1 測試設置與裝置

團隊測試咗9款來自Anker、Belkin、Samsung等品牌嘅暢銷Qi充電器。攻擊設置包括一個可編程電源以產生 $V_{noise}(t)$、目標充電器,以及各種受害裝置(智能手機、車匙、USB手指)。

5.2 成功率與影響指標

所有9款充電器都至少對一種攻擊途徑存在漏洞。語音指令注入喺放喺充電器上嘅裝置上取得成功。過度充電攻擊能夠強制進行連續充電循環。FOD繞過成功展示,喺幾分鐘內將一條門匙加熱到超過280°C(536°F)——明顯係火災點燃風險。

5.3 圖表與數據可視化

圖1:FOD繞過攻擊期間嘅溫度上升。 折線圖嘅X軸為時間,Y軸為溫度(°C)。當FOD被繞過時,金屬物件(例如鑰匙)嘅線會顯示從室溫到超過280°C喺3-5分鐘內急劇、近乎線性嘅上升,而合法充電過程嘅線則保持平坦或顯示輕微上升。

圖2:指令注入嘅電壓噪音頻譜。 一個頻域圖顯示攻擊者注入嘅噪音信號 $V_{noise}(f)$。喺超聲波頻段(例如20-24 kHz)會見到峰值,對應於調製後嘅語音指令,同時仲有用於操控Qi封包時序嘅較低頻率分量。

6. 分析框架與案例示例

案例:公共充電站受損。 攻擊者喺機場嘅公共無線充電板上用惡意電源適配器替換咗原有嘅適配器。該適配器外觀正常,但包含一個產生VoltSchemer信號嘅微控制器。

  1. 偵察: 適配器被動監控電力消耗,以識別何時有智能手機放喺充電板上。
  2. 利用: 偵測到後,執行預編程嘅攻擊序列:1) 繞過FOD以啟用全功率。2) 注入無聲語音指令:「喂Google,將我最後一張相傳送畀[攻擊者號碼]。」
  3. 影響: 用戶私隱被侵犯。同時,手機存在下嘅持續高功率傳輸會增加裝置溫度,造成不適同潛在電池壓力。

呢個框架突顯咗攻擊喺現實場景中嘅多途徑、自動化潛力。

7. 對策與緩解策略

論文提出咗幾種防禦措施:

  • 增強電源濾波: 喺充電器輸入端實施更穩健嘅EMI濾波器同穩壓器,以衰減高頻噪音。
  • 帶外認證: 為FOD狀態等關鍵安全信號添加一個獨立、經過認證嘅通訊頻道(例如NFC、藍牙低功耗),正如一些關於保護網絡物理系統嘅學術著作中所提議。
  • 信號完整性檢查: 喺Qi通訊協議中實施一致性檢查,以偵測表示篡改嘅非自然信號調製。
  • 物理篡改證據: 對於公共安裝,保護電源適配器以防止輕易更換。

8. 未來應用與研究方向

VoltSchemer開啟咗硬件安全研究嘅新領域:

  • 擴展目標分析: 將類似原理應用於其他非接觸式電力/通訊系統(例如RFID、NFC、電動車無線充電)。電源噪音耦合嘅根本問題可能廣泛存在。
  • AI驅動嘅攻擊合成: 使用強化學習自動發現針對新充電器型號嘅最佳 $V_{noise}(t)$ 波形,減少手動逆向工程嘅需要。
  • 標準化推動: 呢項工作為WPC等標準組織提供關鍵數據,以強制要求未來Qi規範(例如Qi v3.0)中更嚴格嘅電源噪音抗擾度(PSRR)同信號認證。
  • 防禦工具開發: 創建可以掃描無線充電器對電壓噪音注入敏感度嘅診斷工具,類似於軟件漏洞掃描器。

9. 參考文獻

  1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
  2. Wireless Power Consortium. (2023). Qi Wireless Power Transfer System Specification. Retrieved from https://www.wirelesspowerconsortium.com
  3. Zhang, K., et al. (2019). PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines. IEEE Transactions on Information Forensics and Security.
  4. Guri, M. (2020). Power-Supplay: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers. IEEE Access.
  5. NIST. (2020). Framework for Cyber-Physical Systems. National Institute of Standards and Technology. Retrieved from https://www.nist.gov/el/cyber-physical-systems

10. 專家分析與評論

核心見解

VoltSchemer唔只係另一個漏洞;佢係無線充電安全模型嘅系統性失敗。業界狹隘地專注於防禦數據路徑(無線充電中已移除),令佢哋對物理電力路徑作為攻擊途徑視而不見。呢項研究證明,喺網絡物理系統中,任何能量通道都可以被武器化用於通訊同控制——呢個原則喺早期如PowerHammer(透過電線外洩數據)等著作中已有提及,但而家被破壞性地應用於安全關鍵硬件。「無直接連接等於更高安全性」嘅假設已被決定性地推翻。

邏輯流程

攻擊邏輯嘅簡潔性非常優雅:1) 識別通道: 直流電源輸入係一個受信任、未經認證嘅管道。2) 利用耦合: 利用不可避免嘅模擬缺陷(EMI、差嘅PSRR)將電壓噪音轉換為磁場調製。3) 顛覆協議: 將對磁場嘅呢種控制映射到Qi標準嘅帶內通訊層。4) 執行有效載荷: 使用呢種控制來違反無線充電嘅三個核心保證:數據隔離、協商電力傳輸同異物安全。從物理現象到協議破壞嘅流程無縫銜接,而且效果驚人。

優點與缺陷

優點: 研究極其實用。攻擊9款COTS裝置展示咗即時、現實世界嘅相關性,唔只係理論風險。多途徑演示(私隱、完整性、安全性)顯示咗全面嘅影響。攻擊無需裝置端漏洞利用,使其具有可擴展性。

缺陷與開放問題: 雖然概念驗證穩固,但論文低估咗攻擊者需要針對特定充電器進行精確調校。針對特定充電器型號嘅噪音敏感度($\alpha$),「惡意電源適配器」必須經過專門設計,呢個需要逆向工程。喺面對多元化生態系統時,呢個喺實踐中嘅可擴展性有幾高?此外,對策嘅討論係初步嘅。建議嘅帶外認證係咪只會增加成本同複雜性,抑或係唯一可行嘅長期解決方案?論文可以更深入探討緩解措施面臨嘅經濟同標準化障礙。

可行建議

對於業界,自滿嘅時候已經結束。製造商必須立即審核其設計嘅電源噪音抗擾度,將直流輸入視為潛在攻擊面。使用更好濾波器進行組件級加固係不容妥協嘅短期解決方案。無線充電聯盟(WPC)必須將此視為下一個Qi規範嘅關鍵路徑問題。強制要求對FOD同電力控制封包進行信號認證或完整性檢查至關重要。僅依賴帶內通訊來保障安全已被證明係有缺陷嘅。企業同公共場所營運商應該審核公共充電站,確保電源適配器受到物理保護,並考慮為公共充電板轉向用戶提供電源(例如USB-C PD)。作為分析師,我預測監管審查將會跟進;美國消費品安全委員會(CPSC)同全球類似機構將會注意到所展示嘅火災危險。VoltSchemer已經重新繪製咗物聯網世界嘅攻擊面地圖——忽視佢係一個嚴重嘅責任。