VoltSchemer：利用電壓雜訊攻擊無線充電器

1. 簡介

以廣泛普及的 Qi 標準為代表的無線充電，透過消除實體連接器，承諾了便利性與更高的安全性。其市場正以 25.8% 的年複合成長率成長。然而，本論文「VoltSchemer」揭露了關鍵漏洞，打破了人們對其安全性的認知。核心發現是，從受損電源引入的、作為電壓雜訊的有意電磁干擾，可以透過系統傳播並劫持充電器與裝置之間的帶內通訊通道。這使得攻擊者能夠在無需對商用現成無線充電器進行任何物理修改的情況下，獲得完全控制權，從而實現一系列強大的攻擊。

2. 背景與相關研究

2.1. 無線充電與 Qi 標準

Qi 無線充電利用發射器與接收器線圈之間的電感耦合。控制通訊（例如，電力需求、FOD 訊號）是透過對電源載波訊號進行帶內調變來實現的，這與有線充電擁有獨立資料線路不同。無線充電聯盟執行如異物偵測等安全協定，以防止金屬物體過熱。

2.2. 先前對充電系統的攻擊

先前的研究（例如 MACTANS、Juice Jacking）專注於有線充電，利用 USB 資料線安裝惡意軟體或注入按鍵輸入。無線充電由於缺乏直接的資料路徑而被認為更安全。VoltSchemer 透過攻擊電源和通訊通道本身，從根本上挑戰了這個假設。

3. 威脅模型與攻擊概述

3.1. 攻擊者能力

攻擊者需要控制供應無線充電器的 AC-DC 電源轉接器。這可能是惡意的公共充電站、受損的智慧插座或被竄改的轉接器。無需修改充電器或裝置本身。

3.2. 核心攻擊原理：電壓雜訊注入

攻擊者將精心設計的電壓雜訊 ($V_{noise}(t)$) 注入直流電源線。此雜訊透過電磁干擾耦合到充電器的電路中，最終調變了發射線圈產生的磁場。由於 Qi 通訊依賴於調變這個相同的磁場，攻擊者可以注入惡意的控制封包，冒充充電器或裝置。

4. VoltSchemer 攻擊向量

4.1. 注入人耳無法聽見的語音指令

透過調變電源訊號，攻擊者可以從充電器的內部元件（線圈、電容器）產生超音波頻率的聲學訊號。這些訊號可以被智慧型手機的麥克風解調，從而在使用者不知情的情況下，對語音助理（例如 Siri、Google Assistant）執行語音指令。

4.2. 透過過度充電/過熱損壞裝置

攻擊者可以偽造 Qi 通訊封包，指示充電器提供超出裝置協商限制的過量電力，可能透過過電壓或熱應力損壞電池或電路。

4.3. 繞過異物偵測 (FOD)

這是最關鍵的攻擊。當金屬物體（例如鑰匙、硬幣或 NFC 卡）放在充電板上時，攻擊者可以向充電器發送偽造的 FOD「安全」訊號。充電器被欺騙，以為沒有異物存在，繼續以全功率運作，從而產生危險的渦電流，可能將物體加熱到燃點溫度，或使貴重物品消磁/熔化。

5. 技術細節與數學模型

5.1. 訊號傳播與電磁干擾耦合

注入的電壓雜訊 $V_{noise}(t)$ 透過直流匯流排傳播。非理想的元件（走線、電容器）充當天線，將此雜訊耦合到充電器的敏感類比和開關電路中。耦合可以建模為一個非預期的轉移函數 $H_{coupling}(f)$： $$V_{induced}(f) = H_{coupling}(f) \cdot V_{noise}(f)$$ 其中 $V_{induced}(f)$ 是出現在關鍵節點上的雜訊。

5.2. 為帶內通訊調變電源訊號

Qi 通訊使用振幅偏移調變。接收裝置調變負載，以在發射線圈電壓上產生振幅變化。攻擊者誘導的雜訊 $V_{induced}(t)$ 可以模仿這種調變。為了注入位元 '1'，攻擊者疊加一個特定的頻率分量，以引起可偵測的振幅下降。所需的雜訊輪廓必須符合 Qi 封包結構（前導碼、標頭、訊息、檢查碼）。

6. 實驗設置與結果

6.1. 測試裝置與成功率

作者成功地在9 款中的 9 款熱銷商用現成 Qi 充電器（品牌包括 Belkin、Anker 和 Samsung）上展示了所有三種攻擊。這 100% 的成功率突顯了此漏洞的普遍性。

6.2. 關鍵效能指標與觀察

圖表描述（想像）： 長條圖將顯示「各充電器型號的攻擊成功率」，所有型號都接近 100%。折線圖將繪製 FOD 繞過攻擊期間的「誘導物體溫度 vs. 時間」，顯示家用鑰匙的溫度急遽上升至超過 280°C，證明了火災風險。另一張圖將說明訊號鏈：惡意電源供應 → 注入的 $V_{noise}$ → 充電器電路板（電磁干擾耦合）→ 發射線圈調變 → 惡意磁場 → 目標裝置/物體。

實驗證實了能夠注入有效的 Qi 封包、強制持續高功率模式，並在幾分鐘內將異物加熱到危險水平的能力。

7. 分析框架與案例研究

評估無線充電器安全性的框架：

1. 訊號完整性分析： 稽核電源供應輸入級對傳導性電磁干擾的敏感性。測量充電器關鍵積體電路的電源供應抑制比。
2. 通訊協定模糊測試： 系統性地注入格式錯誤和超出規格的電壓雜訊模式，以測試充電器微控制器上 Qi 協定解析器的穩健性。
3. 旁通道監控： 在正常運作期間監控非預期的旁通道（聲學、熱、電源）以建立基準，然後在攻擊模擬期間偵測異常。

8. 防禦措施與緩解策略

• 硬體層級： 在直流電源輸入端實施穩健的濾波和屏蔽。使用隔離式電源轉換器拓撲。為關鍵指令（例如 FOD 狀態、電力控制）加入基於硬體的封包驗證。
• 韌體/協定層級： 如作者所建議，在 Qi 封包中加入訊息驗證碼或數位簽章。實施合理性檢查（例如，用熱感測器交叉驗證電力請求）。
• 使用者意識： 避免對貴重裝置使用公共、不受信任的無線充電器。注意充電期間不尋常的發熱情況。

9. 未來應用與研究方向

• 擴大目標範圍： 研究對其他感應式系統（例如 RFID 讀取器、電動車無線充電）的類似電壓雜訊攻擊。
• 人工智慧增強攻擊生成： 使用強化學習來發現針對不同充電器硬體的最佳雜訊波形，類似於應用於硬體的機器學習對抗攻擊。
• 標準演進： 向無線充電聯盟施壓，要求在未來的 Qi 規格中強制實施安全性增強措施，可能納入適合低功耗、即時控制的輕量級加密協定。
• 防禦工具開發： 為製造商開發自動化測試框架，以評估其充電器對 VoltSchemer 式攻擊的韌性。

10. 參考文獻

1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
2. Wireless Power Consortium. Qi Wireless Power Transfer System Specification.
3. Clark, S., et al. (2013). MACTANS: Injecting Malware into iOS Devices via Malicious Chargers. USENIX Security.
4. Zhang, K., et al. (2021). Learning to Listen: A Neural Network for Inaudible Voice Recognition. IEEE S&P.
5. NIST. (2020). Guidelines for Managing the Security of Mobile Devices in the Enterprise (SP 800-124 Rev. 2).

11. 專家分析與評論