概述
随着科学技术的不断发展,智能手机、汽车、医疗设备、防盗设备、无人机、物联网设备、以及其他的工业级和消费级产品中都配备有各种各样的加速度计传感器。我们进行这项调查研究的目的是想弄清楚模拟声学注入攻击对电容式MEMS(微型机电系统)加速度计的数字完整性将会产生怎样的影响。攻击者可以通过这种声学攻击技术来干扰并欺骗传感器,并向微处理器和嵌入式系统发送任意的数字值,而这些恶意值可以破坏传感器输出数据的完整性。
我们此次研究的贡献有如下三点:
1. 设计恶意声学干扰MEMS加速度计的物理模型;
2. 对MEMS加速度计和采用了这些传感器的系统进行声学注入攻击,并通过对攻击结果的测量来扫描硬件级安全漏洞;
3. 两种基于软件的防御机制可以从一定程度上保证MEMS加速度计输出数据的完整性;
攻击者可以做什么?
能够近距离接触MEMS传感器的攻击者可以利用高强度声波攻击来欺骗传感器,并让传感器输出由攻击者控制的信号值。我们的研究表明,如果攻击者掌握了篡改传感器数据的算法,那么他们就可以利用传感器数据来控制系统的运行。
演示视频
在下面这段视频中,我们演示了在一台三星Galaxy S5智能手机中播放含有特殊音符的YouTube音乐视频。这些特殊音符会欺骗手机内部的加速度计,以此来控制传感器的输出信号,输出的信号值为“WALNUT”。计算机中会实时显示加速度计传感器的输出信号值:
下面这段视频就是刚才测试手机里所播放的那段视频。我们在原始视频里添加了特殊的声音,这也表明我们的声学攻击即使有视频或音乐干扰的情况下也可以非常有效,而这些嵌入了特殊音符的音频文件可以由手机中的网页、电子邮件附件和Twitter链接自动播放。
下面这个视频演示的是我们对Fitbit健康追踪器(含MEMS加速度计)的声学注入攻击过程。需要注意的是,我们并不认为这种针对健康手环的攻击会给用户带来非常巨大的安全风险,因为这些设备不具有医疗诊治的功能。但是,这足以表明这种声学干扰可以对MEMS加速度计的输出结果进行干扰或控制。
攻击机制
电容式MEMS加速度计通过质量偏移来测量加速度,理想状态下电容式MEMS加速度计的设计结构如下图所示。当设备受到加速力时,芯片可以感受到重心的偏移,从而引起电容发生变化,并将这种变化转换为模拟电压信号s(t)。其中,模拟电压信号与加速度函数有关。
声波会对其传播路径上的物理对象施力,因此我们就通过声波来干扰弹簧结构的共振频率,并利用这种声干扰来伪造加速度信号,而伪造的加速度信号与声干扰信号函数相关(Sa(t)),具体如下图所示。需要注意的是,弹簧的共振频率是由其物理结构决定的,而只有当声干扰信号的声波频率与弹簧结构的共振频率相匹配时,我们才能成功地伪造出加速度信号。
实际上,我们只需要在声波正弦曲线的波峰上进行振幅调制(使攻击声波的频率与MEMS传感器的共振频率相匹配),并调整出我们所需要的传感器输出信号,就可以对MEMS加速度计进行声学攻击。下图演示的就是我们攻击一个MEMS加速度计,并让其输出“WALNUT”字母字符串的信号调制过程。
如果一个系统或设备使用了包含漏洞的MEMS传感器来作为自动化决策系统,那么攻击者就可以利用这个MEMS传感器来作为有效的攻击向量。为了演示攻击过程,我们对三星GalaxyS5智能手机进行了一次模拟的声学攻击,这台手机中运行了一个能够远程操控遥控汽车的软件,手机会根据MEMS加速度计的数据来实时遥控玩具汽车,此时的手机就相当于汽车的方向盘。在正常情况下,用户可以通过倾斜手机来控制玩具汽车的行驶方向,但如果此时我们对这台手机发动声学攻击的话,玩具汽车的行驶方向就不受这台手机的控制了。
哪些型号的传感器会受影响?
在实验过程中,我们只对20款MEMS加速度计进行了漏洞测试,而且我们认为其他种类的MEMS传感器(例如MEMS陀螺仪)同样存在类似的安全问题。下图显示的是我们在测试过程中所发现的存在漏洞的传感器。需要注意的是,其中有很多传感器漏洞是由配置错误所导致的,而并非传感器本身的固有问题。在实验中,我们将声干扰的强度定为了110分贝,但是低振幅的攻击声波同样会对很多传感器造成影响。
如何才能保证传感器的安全?
关于这种声学攻击防御机制的详细内容,请参考研究人员在IEEE所发布的论文【传送门】。如果你对这种攻击技术感兴趣的话,也可以参考这篇论文中给出的详细技术细节。
实际上,如果我们想要保护传感器安全,那么则需要多种技术的配合,但下面是两种比较简单的保护方法:
1. 保护MEMS传感器的声学接口,比如说我们可以在传感器周围放置声波衰减泡沫。
2. 引入专门的数据处理算法,并通过数学方法来屏蔽异常的加速度信号,尤其是那些共振频率与MEMS传感器共振频率类似的声波信号。
* 参考来源:WALNUT, FB小编Alpha_h4ck编译