1. 簡介

以廣泛普及的 Qi 標準為代表的無線充電,一直被宣傳為有線充電的安全、便利替代方案,很大程度上不受困擾 USB 連接的資料型攻擊影響。VoltSchemer 研究打破了這個假設,揭示了供電鏈路本身存在根本性的漏洞。本文證明,透過調變供應給商用現成 (COTS) 無線充電器的電壓,攻擊者可以誘發蓄意的電磁干擾 (IEMI),從而操控充電器的運作、繞過其安全協定,並實現一系列強大的實體與資通實體攻擊。

2. 背景與威脅模型

理解 VoltSchemer 需要掌握 Qi 生態系統被認知的的安全性,以及其所引入的新穎威脅模型。

2.1 Qi 無線充電標準

無線充電聯盟 (WPC) 制定的 Qi 標準使用近場磁感應進行電力傳輸。安全性透過帶內通訊來實施,充電器與裝置透過調變電力訊號本身來交換控制封包。關鍵的安全功能包括防止金屬物體過熱的異物偵測 (FOD),以及防止過度充電的協商功率等級。

2.2 攻擊模型與假設

攻擊者的目標是顛覆無線充電器的預期行為。核心假設是攻擊者能夠控制或替換供應給充電器的電源轉接器 (AC-DC 轉換器)。這在公共場所(機場、咖啡廳)或透過受損/惡意的充電站是一個現實的威脅。無需對充電器或裝置進行任何實體改裝。

3. VoltSchemer 攻擊方法論

VoltSchemer 利用了電力輸入端與發射線圈控制電路之間非理想的隔離性。

3.1 電壓雜訊注入向量

攻擊者產生一個精心設計的電壓雜訊訊號 $V_{noise}(t)$,並使用特製電路將其疊加到直流供電電壓 $V_{dc}$ 上。這個帶有雜訊的供電 $V_{supply}(t) = V_{dc} + V_{noise}(t)$ 被輸入到無線充電器。由於充電器電路中的電磁干擾 (EMI) 和電源抑制比 (PSRR) 限制,此雜訊會傳播並調變發射線圈中的電流。

3.2 利用帶內通訊

Qi 通訊依賴於電力訊號的振幅調變。透過塑造 $V_{noise}(t)$,攻擊者可以模仿或覆寫合法的通訊封包。注入的雜訊會產生旁帶頻率,干擾接收端(手機)的解調過程,從而允許注入惡意的 Qi 封包或中斷合法的封包。

3.3 技術細節與數學模型

此攻擊可被建模為一個訊號注入問題。發射線圈電流 $I_{tx}(t)$ 是驅動電路輸入的函數,而該輸入受到供電雜訊的破壞。一個簡化的表示式為:$I_{tx}(t) = f(V_{dc} + \alpha \cdot V_{noise}(t), C(t))$,其中 $f$ 是充電器的轉移函數,$\alpha$ 是代表雜訊敏感度的耦合係數,而 $C(t)$ 是合法的控制訊號。攻擊者設計 $V_{noise}(t)$ 以達成期望的惡意 $I_{tx}(t)$,該電流對應於偽造的 Qi 訊息(例如「FOD 通過」、「提高功率」)。

4. 已展示的攻擊向量

本研究透過三種實際攻擊具體化了此威脅。

攻擊成功率

9/9

熱銷的 COTS 充電器存在漏洞

關鍵影響

3

展示了三種截然不同、高嚴重性的攻擊向量

4.1 注入人耳無法察覺的語音指令

調變後的磁場可以在智慧型手機的內部音訊電路中感應出微小的電壓。透過將語音指令編碼在超音波範圍(>20 kHz),VoltSchemer 可以在使用者不知情的情況下觸發語音助理(Google Assistant、Siri),從而導致裝置被入侵、資料外洩或智慧家庭控制。

4.2 透過過度充電/過熱造成裝置損壞

透過偽造 Qi 通訊封包,攻擊者可以指示充電器忽略裝置的「結束電力傳輸」訊號,或提供超出協商限制的電力。這可能導致嚴重的電池退化、膨脹,或在極端情況下引發熱失控和火災。

4.3 繞過異物偵測 (FOD)

這是最陰險的攻擊。FOD 是一項關鍵的安全功能,用於偵測寄生功率損耗(例如對硬幣或鑰匙)並關閉充電。VoltSchemer 可以注入錯誤報告高電力傳輸效率的封包,欺騙充電器在有異物存在的情況下以全功率運作,從而產生強烈的局部過熱危險。

5. 實驗結果與評估

5.1 測試設定與裝置

團隊測試了來自 Anker、Belkin、Samsung 等品牌的 9 款熱銷 Qi 充電器。攻擊設定包括一個可程式化電源供應器(用於產生 $V_{noise}(t)$)、目標充電器以及各種受害裝置(智慧型手機、鑰匙遙控器、USB 隨身碟)。

5.2 成功率與影響指標

所有 9 款充電器都至少對一種攻擊向量存在弱點。語音指令注入在放置於充電器上的裝置上取得成功。過度充電攻擊能夠強制執行連續充電循環。FOD 繞過被成功展示,在幾分鐘內將一把家用鑰匙加熱到超過 280°C (536°F)——這顯然存在點火風險。

5.3 圖表與資料視覺化

圖 1:FOD 繞過攻擊期間的溫度上升。 折線圖的 X 軸為時間,Y 軸為溫度 (°C)。當 FOD 被繞過時,金屬物體(例如鑰匙)的曲線會在 3-5 分鐘內從室溫急遽、近乎線性地上升到超過 280°C,而合法充電過程的曲線則保持平坦或顯示輕微上升。

圖 2:用於指令注入的電壓雜訊頻譜。 一個頻域圖,顯示攻擊者注入的雜訊訊號 $V_{noise}(f)$。在超音波頻段(例如 20-24 kHz)可以看到峰值,對應於調變後的語音指令,同時還有用於操控 Qi 封包時機的低頻分量。

6. 分析框架與案例範例

案例:公共充電站入侵。 攻擊者將機場公共無線充電板中的電源轉接器替換為惡意版本。該轉接器外觀正常,但內含一個能產生 VoltSchemer 訊號的微控制器。

  1. 偵察: 轉接器被動監控電力消耗,以識別何時有智慧型手機放置在充電板上。
  2. 利用: 偵測到後,執行預先編程的攻擊序列:1) 繞過 FOD 以啟用全功率。2) 注入人耳無法察覺的語音指令:「Ok Google,將我最後一張照片傳送給 [攻擊者號碼]。」
  3. 影響: 使用者隱私遭到侵犯。同時,手機存在下的持續高功率傳輸會提高裝置溫度,造成不適和潛在的電池壓力。

此框架突顯了此攻擊在現實場景中多向量、自動化的潛力。

7. 防禦措施與緩解策略

本文提出了幾種防禦措施:

  • 增強電源濾波: 在充電器輸入端實施更穩健的 EMI 濾波器和穩壓器,以衰減高頻雜訊。
  • 帶外認證: 為 FOD 狀態等關鍵安全訊號增加一個獨立的、經過認證的通訊通道(例如 NFC、藍牙低功耗),如同一些關於保護資通實體系統的學術著作中所提議的。
  • 訊號完整性檢查: 在 Qi 通訊協定中實施一致性檢查,以偵測表示竄改的非自然訊號調變。
  • 實體竄改證據: 對於公共安裝,保護電源轉接器以防止輕易更換。

8. 未來應用與研究方向

VoltSchemer 開啟了硬體安全研究的新領域:

  • 擴展目標分析: 將類似原理應用於其他非接觸式電力/通訊系統(例如 RFID、NFC、電動車無線充電)。供電雜訊耦合的根本問題可能普遍存在。
  • AI 驅動的攻擊合成: 使用強化學習自動為新型號充電器發現最佳的 $V_{noise}(t)$ 波形,減少手動逆向工程的需求。
  • 推動標準化: 這項工作為 WPC 等標準組織提供了關鍵數據,以在未來的 Qi 規範(例如 Qi v3.0)中強制要求更嚴格的電源雜訊抗擾度 (PSRR) 和訊號認證。
  • 防禦工具開發: 建立診斷工具,可以掃描無線充電器對電壓雜訊注入的敏感度,類似於軟體漏洞掃描器。

9. 參考文獻

  1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
  2. Wireless Power Consortium. (2023). Qi Wireless Power Transfer System Specification. Retrieved from https://www.wirelesspowerconsortium.com
  3. Zhang, K., et al. (2019). PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines. IEEE Transactions on Information Forensics and Security.
  4. Guri, M. (2020). Power-Supplay: Leaking Data from Air-Gapped Systems by Turning the Power-Supplies Into Speakers. IEEE Access.
  5. NIST. (2020). Framework for Cyber-Physical Systems. National Institute of Standards and Technology. Retrieved from https://www.nist.gov/el/cyber-physical-systems

10. 專家分析與評論

核心洞見

VoltSchemer 不僅僅是另一個漏洞;它是無線充電安全模型的系統性失敗。產業界狹隘地專注於防禦資料路徑(在無線充電中被移除),使其對實體電力路徑作為攻擊向量視而不見。這項研究證明,在資通實體系統中,任何能量通道都可以被武器化用於通訊和控制——這一原則在早期的研究如 PowerHammer(透過電力線外洩資料)中已有體現,但現在被破壞性地應用於安全關鍵的硬體。「沒有直接連接等於更高安全性」的假設已被決定性地推翻。

邏輯流程

攻擊邏輯的簡潔性非常優雅:1) 識別通道: 直流電源輸入是一個受信任、未經認證的管道。2) 利用耦合: 利用不可避免的類比缺陷(EMI、低 PSRR)將電壓雜訊轉換為磁場調變。3) 顛覆協定: 將對磁場的這種控制映射到 Qi 標準的帶內通訊層。4) 執行攻擊負載: 利用這種控制來違反無線充電的三個核心保證:資料隔離、協商電力傳輸和異物安全。從物理現象到協定破壞的流程無縫銜接且效果驚人。

優點與缺陷

優點: 這項研究極具實用性。攻擊 9 款 COTS 裝置展示了立即的、現實世界的相關性,而不僅僅是理論風險。多向量展示(隱私、完整性、安全)顯示了全面的影響。攻擊無需裝置端漏洞利用,使其具有可擴展性。

缺陷與未解問題: 雖然概念驗證很紮實,但本文淡化了攻擊者需要針對特定充電器進行精確調校的需求。「惡意電源轉接器」必須針對特定充電器型號的雜訊敏感度 ($\alpha$) 進行設計,這需要逆向工程。在實踐中,面對多樣化的生態系統,其可擴展性如何?此外,對防禦措施的討論是初步的。所提議的帶外認證是否只會增加成本和複雜性,還是這是唯一可行的長期解決方案?本文可以更深入地探討緩解措施的經濟和標準化障礙。

可行動的見解

對於產業界而言,自滿的時代已經結束。製造商必須立即審查其設計的電源雜訊抗擾度,將直流輸入視為潛在的攻擊面。使用更好的濾波器進行元件級強化是不可妥協的短期修復方案。無線充電聯盟 (WPC) 必須將此視為下一個 Qi 規範的關鍵路徑問題。強制要求對 FOD 和功率控制封包進行訊號認證或完整性檢查至關重要。僅依賴帶內通訊來保障安全已被證明存在缺陷。企業與公共場所營運商應審計公共充電站,確保電源轉接器受到實體保護,並考慮為公共充電板轉向使用者自備電源(例如 USB-C PD)。作為分析師,我預測監管審查將會跟進;美國消費品安全委員會 (CPSC) 及全球同類機構將會注意到所展示的火災危險。VoltSchemer 已經重新繪製了物聯網世界的攻擊面地圖——忽視它將是重大的責任。