针对无线电磁信号的物理攻击的挑战调研

2024年2月9日14:40:52评论18 views字数 8135阅读27分7秒阅读模式

摘要

物联网设备因其低能耗、小巧、高集成度成为很多应用场景的首选，然而低能耗的特性注定了物联网设备的内部构造不可过于复杂，普通大型集成电路中为确保数据安全传送和处理的安全验证、可信计算机制也通常被剔除。由于缺乏可信验证机制，在物联网设备中流动的信息默认为可信的，这就为物联网设备的数据干扰、伪造、窃听和破坏提供可乘之机。本文通过物理域中常见电磁介质的角度展开讨论，总结针对无线电磁信号物联网攻击方式的研究现状和未来挑战。物联网设备因其低能耗、小巧、高集成度成为很多应用场景的首选，然而低能耗的特性注定了物联网设备的内部构造不可过于复杂，普通大型集成电路中为确保数据安全传送和处理的安全验证、可信计算机制也通常被剔除。由于缺乏可信验证机制，在物联网设备中流动的信息默认为可信的，这就为物联网设备的数据干扰、伪造、窃听和破坏提供可乘之机。本文通过物理域中常见电磁介质的角度展开讨论，总结针对无线电磁信号物联网攻击方式的研究现状和未来挑战。

引言

物联网设备充当着联系物理世界和信息世界的桥梁的作用。近年来，随着物联网设备成本的不断降低和计算能力的不断提高，物联网嵌入式设备被广泛应用于基础设施、能源、制造和航天等领域。可穿戴式设备和家用电器等物联网设备也逐渐走入了每个人的生活中。根据调查显示，预计到2028年，全球物联网市场的复合年增长率将达到8.7%，达到1375.66亿美元[1]。物联网设备通常具有低成本的特点，而低成本带来的代价就是可能缺少针对各种威胁的防护体系。对物联网设备的攻击可能会对人类生活产生严重的影响，因此研究设计人员有必要系统了解物联网设备可能存在的物理风险漏洞，熟悉对安全至关重要的攻击方式，并且针对这些潜在的安全风险设计性价比较高的防护措施，以提升物联网设备系统的整体安全性。电磁信号作为电子设备内部信息流动的媒介，使用其进行信号注入/窃听是最直接的。目前对电磁信号的攻击研究中，通过无线电磁信号耦合方式注入攻击信号是最常见的，针对隐私的窃听也如此。下面对近年关于无线电磁信号耦合的攻击研究进行简要梳理。

什么是无线电磁信号耦合攻击

在电子电路中，模拟信号通常由电路中的导线、PCB迹线传导，导线和迹线由于属于良导体，具有较强的感应电场/磁场的能力，故具有类似天线的性质，易受到电磁干扰。迄今为止，利用导线或PCB迹线向设备电路中注入信号的攻击得到了广泛的研究。类天线的特性可以充当AC信号源，当攻击信号注入到电路中时，可能导致攻击者发送的电磁信号被目标电路解释为合法的信号。这种攻击方式利用了大多数电路缺乏完美的电磁兼容特性，最主要的优点是攻击者无需与受害者进行物理上的接触，并且在没有对目标设备的硬件电路构造进行针对性的修改的情况下，很难完美地防御此类攻击。无线电磁信号耦合攻击按照介质分类主要分电磁波攻击和磁场攻击，按照耦合方式分类主要分“前门耦合”和“后门耦合”攻击。除此之外，根据天线互易律，一个好的接收天线同时也是好的发射天线，故电路中的电磁信号可能通过电磁耦合方式泄露，攻击者可以用来推断一些敏感信息，此类攻击叫做无线电磁信号耦合窃听攻击。

“后门耦合”电磁波攻击

由于目标攻击系统通常不是专门用于无线通信，故攻击者确定攻击信号的参数（例如发送信号的功率、频率大小）的过程是困难的。通常情况下，攻击者利用“后门耦合”[3]方式确定目标系统对攻击信号的反应敏感性，后门耦合是指“电磁辐射通过电磁屏蔽中的缺陷进行耦合，在屏蔽结构中产生扩散和复杂的场模式”。在不了解攻击目标电气参数的情况下，要想达到最优攻击效率，通常需要进行大量的实验性测试（例如频率扫描）来确定攻击参数[4]，具体来说就是在一定的参数范围内，按一定的步长发送测试信号，来观察受害者受到测试信号的影响程。

传感器是电子设备特别是物联网设备中经常用到的元件之一。传感器的作用是感受物理环境中的变量信息，并能将感受到的信息按一定规律变换成为电信号或其他所需形式的信息输出[5]。在含传感器的系统中，外部电磁干扰（EMI）可能会导致传感器的工作异常（如传感器读数错误），进而使得电子设备系统执行错误的行为或推断错误的决策。Giechaskiel等人[6]最早对无线电磁信号的传感器攻击方式进行了系统的研究，引入了一个统一的传感器系统攻击模型（图1）。在这项工作中，介绍了模数转换器ADC的解调特性，且重点围绕着传感器部件介绍了干扰传感器读数或将精确的调制波形注入到攻击者系统的理论方法，并用数学公式刻画了攻击信号与攻击效果的联系。利用传感器系统中ADC模块的欠采样特性，对市面上的6款ADC模块实施了任意信号注入攻击，尽管实现攻击所需要的条件稍有不同，但是都能成功注入调制信号，进而改变传感器系统的读数值，体现出较高的敏感性。

图1 系统模型:恶意信号v(t)进入电路，通过传递函数HC进行变换。它通过ADC特定的传递函数HA与传感器信号s(t)和噪声n(t)一起转换为数字信号

最近出现了一个利用导线的类天线效应注入恶意信号的攻击，Dayanikli等人[2]设计了一种利用无线电磁波干扰玩具无人机的PWM模拟控制过程，进行飞行行为操控攻击。通过在特定时刻通过近场天线向无人机背面的PWM天线发送无线干扰信号，控制PWM原来信号的占空比（图2），进而可以控制无人机执行任何动作操作（如翻滚、上升和下降）。实验结果表明，发送＜100MHz，10V以内的电压信号足以使得无人机在空中反转、降落甚至失去平衡，但是有效的控制距离十分有限，在实验中，10V电压信号的有效控制距离通常不超过6米[2]。

图2 无人机PWM占空比与运动方向的关系示意图。(a)合法的PWM占空比的范围；(b)当高电平持续时间为1ms时，无人机向左45°飞行；(c)当高电平持续时间为1.5ms时，无人机保持直线飞行；(d)当高电平持续时间为2ms时，无人机向右45°飞行。

Tu等人在"Trick or Heat"的工作中[7]，通过发送无线电信号，利用整流效应对温度传感器进行带外信号注入攻击。他们还确定，随着频率的增加，交流电压的幅度减小，而“特定频率下的EMI信号会引起显著的直流偏置”。此外，对于给定的注入频率，功率和感应直流偏移“局部成比例”[7]。在实验中，即使发射装置和受到攻击的婴儿保温箱之间有一堵厚厚的墙，也通过产生的直流偏置，将婴儿的皮肤体感温度增加至多3.4°C或者降低4.5°C[7]，证明了带外信号注入攻击的潜在致命后果。

电子元件的非线性性质是将带外攻击信号变为带内信号的重要转化媒介。传感器中含有大量的非线性元件（如二极管、晶体管等），利用非线性性质对传感器的读数进行修改有时会产生严重的后果。Kune等人[8]发现医疗除颤仪的电位传感器可以受到电磁信号的干扰，进而导致致命的除颤电击行为。利用到传感器的非线性性质，Kune等人成功的向电位传感器中注入了任意值的干扰信号。

“后门耦合”也可以作为一个隐蔽的通讯信道，进而发动隐蔽信息收发攻击。Li等人[9]提出一种新型的通过毫米波感知技术攻击气隙(Air-Gap)计算设备的隐蔽信道SpiralSpy，可以从8米处隐蔽地发射并绕过强隔离的计算设备。证明了有序冷却风扇可用于隐蔽通道攻击。在气隙计算设备内部的恶意软件可以将机密数据连续编码成可传输的位数据流，通过控制冷却风扇的转速传播数据流，并且风扇运动的调制状态可以被商用毫米波传感器远程解码。

“前门耦合”电磁波攻击

与“后门耦合”不同，Kasmi和Lopes等人还介绍了“前门耦合”的攻击方式[3]，这种攻击方式的目的是“辐射耦合到旨在与外部环境通信或交互的设备中”，它旨在通过交互接口注入，而不是直接注入到设备的内部电路。他们以耳机为例对该耦合攻击方式进行介绍，耳机可以作为FM天线使用，因而攻击信号可以通过耳机天线注入到系统，且很难被屏蔽。但是这种攻击场景所需要的场强在25-30 V/m的量级，接近人体安全的极限，比安全的场强级别（≤3V/m)高出一个数量级。在该实验中，攻击距离为2米时，需要大于40W的功率才能攻击成功，而4米的距离则需要200W的功率。另一个针对消费者产品的“前门耦合”行为控制攻击的案例是，Wu 等人[10]设计了一种控制支持Qi协议的手机的无线充电速率的攻击方法，该方法通过在Qi充电器附近布置的恶意线圈（图3）监听并发送伪造的手机与充电器之间的协议协商数据包，欺骗Qi充电器执行控制命令（如电量满，停止充电），进而影响设备充电进度和电池性能。在实验中提供的商用Qi充电器上，攻击成功率均大于80%，且在距Qi充电器<4cm的位置能够以若干瓦特的微小功率成功实施攻击。

图3 攻击场景的例子：(a)将超薄的对抗线圈粘在充电器上表面;(b)将恶意的攻击线圈隐藏在充电器的下方

磁信号攻击

除了通过无线电信号进行信号注入攻击，使用磁信号发动攻击在最近被逐渐重视起来。Shoukry等人最先证明了磁信号有可能混淆汽车防抱死制动系统(ABS)的工作[11]。这种攻击方案通过将基于磁性的车轮转速传感器暴露在带内攻击者在附近产生的磁场中来实现的。这样做可能会改变ABS系统对车速和加速度的测量，继而可能会使汽车偏离正确的行驶道路。这项工作启发了随后的带外攻击工作：Selvaraj等人最近通过电磁传输对致动器进行了信号注入攻击[12]。这项工作中，选择未调制的锯齿波形，使得制动器在目标伺服系统上“在很短的时间内急剧下降”。制动器是使用脉宽调制（PWM）信号控制的，所以使用相同频率（50 Hz）的波形会导致单向（顺时针）旋转。然而这种攻击对信号频率范围有一些限制，倘若将攻击频率更改为60Hz会导致伺服“随机改变位置”[12]。此外，实现攻击需要相对较高的功率:10V(峰对峰)波形是不够的，还需要升压变压器和放大器。在这项工作中，为了便于分析原理，Selvaraj等人总结性的提出了传感器和致动器磁感应攻击的分析模型。为了支持他们提出的模型，他们进一步在模拟和数字模式下对微控制器的通用输入/输出（GPIO）引脚进行了实验。实验结果表明，在0−1000MHz的带宽范围内可能导致直流偏置，即使当微控制器与电源的距离高达1米时也可以成功触发。这表明攻击者可以在宽频率范围内成功注入信号，而无需精确地同步系统的谐振信号。

无线电磁耦合窃听攻击

无线电磁信号由于其发散传播的特性，成为攻击者窃听的重要来源。Ramesh等人[13]设计了一种利用电脑麦克风线缆泄露出来的时钟同步信号来推断麦克风是否处于工作状态的方法。文章发现，麦克风在运作的时候，会有时钟激励信号通过电磁泄露方式散播出去，而电脑中与麦克风共地的元件/导线弯折都有可能使得阻抗不匹配，亦或者器件与连接模块的容抗不匹配，进而导致高频信号发生电磁泄漏。时钟信号作为高频信号，会和其和声（aliasing）在泄露的电磁频谱上表现出一个个尖峰（f,3f,5f,7f….）(图4)。通过对麦克风附近探测电磁频谱，检测是否有这些信号产生，就可以判断麦克风是否被恶意打开。

图4 造成高频信号（如时钟同步信号）泄漏的原因，泄漏的位置(内部和外部)以及捕获的电磁泄漏频谱图。列举了三种泄漏源：（a）连接器；(b)线缆；(c)共地线

用户隐私信息也可能随着电磁泄漏信号的传播而外泄。Cronin等人表示，可以通过正在为手机充电的数据线泄露出来的电磁信号监听用户在手机屏幕上的输入的敏感信息[14]。不同手机的屏幕大小分辨率以及输入密码窗口的动画效果不一样，反映出能量消耗也不一样，所以这可以作为手机按键的指纹。通过训练学习不同手机、按不同按键的电压指纹，就可以根据捕获的用户手机实时的电压曲线变化来判断用户在屏幕上按下的位置如何。然而文章假设连接手机数据线的充电面板（如墙上的USB插孔）（图5）内部拥有电压曲线收集装置，在实际应用中较为局限，且目前手机拥有稳压模块，对于新款设备来说电压信号指纹不太明显。用户隐私信息也可能随着电磁泄漏信号的传播而外泄。Cronin等人表示，可以通过正在为手机充电的数据线泄露出来的电磁信号监听用户在手机屏幕上的输入的敏感信息[14]。不同手机的屏幕大小分辨率以及输入密码窗口的动画效果不一样，反映出能量消耗也不一样，所以这可以作为手机按键的指纹。通过训练学习不同手机、按不同按键的电压指纹，就可以根据捕获的用户手机实时的电压曲线变化来判断用户在屏幕上按下的位置如何。然而文章假设连接手机数据线的充电面板（如墙上的USB插孔）（图5）内部拥有电压曲线收集装置，在实际应用中较为局限，且目前手机拥有稳压模块，对于新款设备来说电压信号指纹不太明显。

图5 实际应用场景

总结

电磁信号作为信号在电路系统中传输的最直接媒介，由以上讨论可知其背后的攻击/泄密隐患是巨大的。这些有关于信号注入/窃密的研究也为我们对信息系统设计安全防护机制提供了许多新的思考，其中包括但不限于增加电磁屏蔽装置、从算法层面上设计入侵检测机制。随着研究的不断深入，相信对应的防护策略也会不断完善，这样电子设备的安全性也就会更高，从而变得更加可靠。

参考文献

[1] “An incisive, in-depth analysis on the cyber physical systems market,”April 2018. [Online]. Available: https://www.futuremarketinsights.com/reports/cyber-physical-systems-market

[2] Dayanıklı G Y, Sinha S, Muniraj D, et al, “ Physical-Layer Attacks Against Pulse Width Modulation-Controlled Actuators”, 31st USENIX Security Symposium (USENIX Security 22). pp. 953-970, 2022.

[3] M. G. Bäckström and K. G. Lovstrand, “Susceptibility of electronic systems to high-power microwaves: Summary of test experience,” IEEE Transactions on Electromagnetic Compatibility (TEMC), vol. 46, no. 3, pp. 396–403, Aug 2004.

[4] T. Woldgramm, A. Manicke, and H. G. Krauthäuser, “Field coupling to nonlinear circuits in resonating structures“, in Proc. IEE Int. Symp. Electromagn. Compatibility, 2015, pp. 785-790.

[5] Akyildiz, Ian F and Su, Weilian and Sakarasubramaniam, Yogesh and Cayirci, Erdal,“ A survey on sensor networks“, IEEE Communications magazine, vol. 40, no. 8, pp. 102-114, 2002.

[6] Giechaskiel l, Zhang Y, Rasmussen K B, “A framework for evaluating security in the presence of signal injection attacks“, in European Symposium on Research in Computer Security, Springer, Cham, pp. 512-532 , 2019.

[7] Y . Tu, S. Rampazzi, B. Hao, A. Rodriguez, K. Fu, and X. Hei, “Trick or heat? Manipulating critical temperature-based control systems using rectification attacks“, in ACM Conference on Computer and Communications Security (CCS), 2019.

[8] D. F. Kune et al. "Ghost talk: Mitigating EMI signal injection attacks against analog sensors," in Proc. IEEE Symp. Security Privacy (S&P), 2013, pp. 145-159.

[9] Li, Zhengxiong, Baicheng Chen, Xingyu Chen, Huining Li, Chenhan Xu, Feng Lin, Chris Xiaoxuan Lu, Kui Ren and Wenyao Xu. “SpiralSpy: Exploring a Stealthy and Practical Covert Channel to Attack Air-gapped Computing Devices via mmWave Sensing.” Proceedings 2022 Network and Distributed System Security Symposium (2022): n. pag.

[10] Wu, Yi, et al. "Time to rethink the design of qi standard? security and privacy vulnerability analysis of qi wireless charging." Annual Computer Security Applications Conference. 2021.

[11] Y . Shoukry, P . Martin, P . Tabuada, and M. Srivastava, “Non-invasivespoofing attacks for anti-lock braking systems,” in International Workshop on Cryptographic Hardware and Embedded Systems (CHES),2013.

[12] J. Selvaraj, G. Y . Dayanıklı, N. P . Gaunkar, D. Ware, R. M. Gerdes, and M. Mina, “Electromagnetic induction attacks against embedded systems,” in ACM ASIA Conference on Computer and Communications Security (ASIACCS), 2018.

[13] Ramesh, Soundarya, et al. "TickTock: Detecting Microphone Status in Laptops Leveraging Electromagnetic Leakage of Clock Signals." arXiv preprint arXiv:2209.03197 (2022).

[14] Cronin, Patrick, Xing Gao, Chengmo Yang, and Haining Wang. "Charger-Surfing: Exploiting a Power Line Side-Channel for Smartphone Information Leakage." In 30th USENIX Security Symposium (USENIX Security 21), pp. 681-698. 2021.

中国保密协会

科学技术分会

长按扫码关注我们