導讀
說起駭客攻擊, 大部分人首先會想到軟體和網路通信層面的入侵, 很少有人會注意到硬體感測器也會遭受攻擊, 更令人想不到的是攻擊途徑竟然是無處不在的「聲波」。 然而, 最近美國密西根大學一項研究成功利用聲波攻擊了加速度感測器, 並且成功入侵智慧手機和智慧可穿戴設備Fitbit手環。
研究簡介
這項研究主要是模擬聲學攻擊電容式MEMS加速度感測器, 通過故意製造干擾來達到欺騙感測器的目的。 微處理器和嵌入式系統往往過於「盲目信任」這些感測器的輸出, 使得攻擊者可以有機可乘,
正如研究人員在論文中所述, 這項研究的貢獻主要在於以下三方面:
第一, 物理建模, 主要針對MEMS加速度感測器的惡意聲學干擾。
第二, 電路缺陷研究, 正是由於電路缺陷, 所以MEMS加速度感測器和系統對於聲學入侵攻擊, 才會存在安全性漏洞。
第三, 兩種軟體防禦方法, 減輕MEMS加速度感測器的安全風險。
密西根大學的電腦科學和工程系的副教授 Kevin Fu 領導這一研究, 團隊利用精准調諧的鈴聲, 欺騙了不同型號的加速度感測器。 這種欺騙攻擊方式, 成為了進入這些設備的一個後門, 使得攻擊者可以利用它對於設備發動攻擊。
對於這項研究, 教授這麼說:
“我們的研究顛覆了關於底層硬體的普遍假設。
加速度感測器
這項研究攻擊方式是聲波, 攻擊物件是加速度感測器。 所以, 我們簡單介紹一下加速度感測器的相關知識和應用場景。
加速度感測器, 是一種能夠測量三維空間中物體速度變化的感測器。 通常由品質塊、阻尼器、彈性元件、敏感元件和適調電路等部分組成。 根據感測器敏感元件的不同, 常見的加速度感測器包括電容式、電感式、應變式、壓阻式、壓電式等。
加速度感測器廣泛應用於汽車電子、航空航太、醫療電子、無人機、智慧手機、智慧硬體、物聯網等工業和消費電子領域。 它可以採集物體的加速度數據資訊, 發送給晶片和嵌入式系統進行分析和決策。 它的用途包括飛機導航、遊戲控制、手柄振動和搖晃、汽車制動啟動檢測、地震檢測、工程測振、地質勘探、振動測試與分析、安全保衛等等。
攻擊演示
為了演示和模仿這些攻擊, 揭示相關的安全性漏洞, 研究人員扮演了白帽駭客, 進行了幾個實驗。
實驗一:他們通過播放不同的惡意音樂檔, 控制加速度感測器, 讓三星 Galaxy S5 手機的晶片輸出信號拼出單詞“WALNUT”。
實驗二:他們利用價值5美元的揚聲器, 欺騙控制 Fitbit手環的加速度感測器, 讓實際上沒有運動過一步的 Fitbit手環, 形成虛假計數的假像。
實驗三:他們通過智慧手機的揚聲器播放了一段“惡意病毒”音樂檔, 控制安卓手機的加速度感測器, 該加速度感測器是控制玩具車的應用程式所信任的。 他們欺騙了該應用程式,從而能夠遠端控制一輛玩具汽車。
攻擊原理
電容式MEMS加速度感測器,在加速過程中,通過對品質偏差的感知來測量加速度值。下圖正是MEMS加速度感測器的原理圖。
當遭受到加速力時,感知的品質會發生變化,從而引起電容變化,再轉換成一個類比電壓信號。電壓信號則可以代表感知到的加速度。
聲學壓力波,會對於其傳播路徑上的物體產生影響。在共振頻率下,感知品質的彈性結構會受到聲學干擾的影響,取代原有的品質感知,從而產生虛假的加速度信號。這一過程有點類似歌唱家在歌唱過程中,發出的聲音震碎玻璃杯,這同樣也是一種共振現象。
這種被欺騙後的加速度信號和聲學干擾信號相關,如下圖所示。這裡有一點很重要,彈性結構的共振頻率與其物理設計特徵相關,而聲學干擾的共振頻率必須匹配彈性結構的共振頻率,從而成功製造這種虛假的加速度。
所以,對於MEMS加速度感測器的聲學攻擊方案很簡單:
在聲學正弦信號上,對於希望感測器輸出的信號進行振幅調製,但是必須要求聲學信號的頻率和MEMS感測器的共振頻率一致。
下圖展示了研究人員如何欺騙MEMS加速度感測器,輸出信號帶有類似字母"WALNUT"。
如果某個系統或者設備使用了這種具有安全性漏洞的MEMS感測器,進行自動化的狀態改變決策,那麼攻擊者很有可能利用這種漏洞發動攻擊。
為了演示這個過程,正如我們前面提到的實驗三,研究人員展示了利用一部三星Galaxy S5 智慧手機,它正在運行一個控制玩具車的應用程式。這個應用程式對於玩具車的控制,基於智慧手機MEMS加速度感測器的測量信號。在正常情況下,使用者可以傾斜手機至不同的角度,從而控制汽車運動的方向。通過聲學攻擊,汽車可以在無需移動手機的情況下運動。
受影響的感測器型號
實驗只測量了來自5個不同晶片製造商的20種不同MEMS加速度感測器的信號。但是,除了加速度感測器,其他的MEMS感測器,例如MEMS陀螺儀,也容易受到這種類型攻擊。
研究人員所測試的具有安全隱患的感測器列表如下圖所示,B代表輸出偏置攻擊,C代表輸出控制攻擊,被標注B和C的感測器型號就代表容易受到這種類型的攻擊。
這些感測器並不是所有的配置條件下都會出現安全性漏洞,但是至少有一種情況下會發生。實驗考慮的聲學干擾振幅在110 db的聲壓級別,低一點的振幅同樣也可以對於各種感測器產生負面影響。
電路缺陷
研究人員稱,這些系統中的缺陷來源於「類比信號的數位化處理」。數字的“低通濾波器”篩選出最高的頻率以及振幅,但是沒有考慮到安全因素。
在這些情況下,他們無意的清除了聲音信號,從而造成安全性漏洞,因此更加方便團隊人為地控制系統。
應對策略
如何具體的應對這種攻擊,大家可以參考文章末尾參考資料中的研究論文。
簡短的說,我們可以有各種各樣的技術方案,以達到安全應用感測器的目的。但是,下面是兩種普遍的應對策略:
部署MEMS感測器的時候,採用一種可以限制他們暴露於聲學干擾的途徑,例如在它們周圍部署聲學抑制泡棉。
利用資料處理演算法來拒絕反常的加速度信號,特別是具有在MEMS感測器共振頻率附近的頻率成分的那些信號。
研究人員在論文中介紹了兩種低成本的軟體防禦方案,可以最小化該安全性漏洞,並且他們也提醒了製造商去應對這些問題。
參考資料
【1】https://spqr.eecs.umich.edu/walnut/
【2】Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, andKevin Fu, "WALNUT: Waging Doubt on the Integrity of MEMS Accelerometers with Acoustic Injection Attacks," https://spqr.eecs.umich.edu/papers/trippel-IEEE-oaklawn-walnut-2017.pdf
他們欺騙了該應用程式,從而能夠遠端控制一輛玩具汽車。
攻擊原理
電容式MEMS加速度感測器,在加速過程中,通過對品質偏差的感知來測量加速度值。下圖正是MEMS加速度感測器的原理圖。
當遭受到加速力時,感知的品質會發生變化,從而引起電容變化,再轉換成一個類比電壓信號。電壓信號則可以代表感知到的加速度。
聲學壓力波,會對於其傳播路徑上的物體產生影響。在共振頻率下,感知品質的彈性結構會受到聲學干擾的影響,取代原有的品質感知,從而產生虛假的加速度信號。這一過程有點類似歌唱家在歌唱過程中,發出的聲音震碎玻璃杯,這同樣也是一種共振現象。
這種被欺騙後的加速度信號和聲學干擾信號相關,如下圖所示。這裡有一點很重要,彈性結構的共振頻率與其物理設計特徵相關,而聲學干擾的共振頻率必須匹配彈性結構的共振頻率,從而成功製造這種虛假的加速度。
所以,對於MEMS加速度感測器的聲學攻擊方案很簡單:
在聲學正弦信號上,對於希望感測器輸出的信號進行振幅調製,但是必須要求聲學信號的頻率和MEMS感測器的共振頻率一致。
下圖展示了研究人員如何欺騙MEMS加速度感測器,輸出信號帶有類似字母"WALNUT"。
如果某個系統或者設備使用了這種具有安全性漏洞的MEMS感測器,進行自動化的狀態改變決策,那麼攻擊者很有可能利用這種漏洞發動攻擊。
為了演示這個過程,正如我們前面提到的實驗三,研究人員展示了利用一部三星Galaxy S5 智慧手機,它正在運行一個控制玩具車的應用程式。這個應用程式對於玩具車的控制,基於智慧手機MEMS加速度感測器的測量信號。在正常情況下,使用者可以傾斜手機至不同的角度,從而控制汽車運動的方向。通過聲學攻擊,汽車可以在無需移動手機的情況下運動。
受影響的感測器型號
實驗只測量了來自5個不同晶片製造商的20種不同MEMS加速度感測器的信號。但是,除了加速度感測器,其他的MEMS感測器,例如MEMS陀螺儀,也容易受到這種類型攻擊。
研究人員所測試的具有安全隱患的感測器列表如下圖所示,B代表輸出偏置攻擊,C代表輸出控制攻擊,被標注B和C的感測器型號就代表容易受到這種類型的攻擊。
這些感測器並不是所有的配置條件下都會出現安全性漏洞,但是至少有一種情況下會發生。實驗考慮的聲學干擾振幅在110 db的聲壓級別,低一點的振幅同樣也可以對於各種感測器產生負面影響。
電路缺陷
研究人員稱,這些系統中的缺陷來源於「類比信號的數位化處理」。數字的“低通濾波器”篩選出最高的頻率以及振幅,但是沒有考慮到安全因素。
在這些情況下,他們無意的清除了聲音信號,從而造成安全性漏洞,因此更加方便團隊人為地控制系統。
應對策略
如何具體的應對這種攻擊,大家可以參考文章末尾參考資料中的研究論文。
簡短的說,我們可以有各種各樣的技術方案,以達到安全應用感測器的目的。但是,下面是兩種普遍的應對策略:
部署MEMS感測器的時候,採用一種可以限制他們暴露於聲學干擾的途徑,例如在它們周圍部署聲學抑制泡棉。
利用資料處理演算法來拒絕反常的加速度信號,特別是具有在MEMS感測器共振頻率附近的頻率成分的那些信號。
研究人員在論文中介紹了兩種低成本的軟體防禦方案,可以最小化該安全性漏洞,並且他們也提醒了製造商去應對這些問題。
參考資料
【1】https://spqr.eecs.umich.edu/walnut/
【2】Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, andKevin Fu, "WALNUT: Waging Doubt on the Integrity of MEMS Accelerometers with Acoustic Injection Attacks," https://spqr.eecs.umich.edu/papers/trippel-IEEE-oaklawn-walnut-2017.pdf