黑客入侵智能手機新手法：聲波攻擊加速度感測器！

導讀

說起黑客攻擊，大部分人首先會想到軟體和網路通信層面的入侵，很少有人會注意到硬體感測器也會遭受攻擊，更令人想不到的是攻擊途徑竟然是無處不在的「聲波」。然而，最近美國密歇根大學一項研究成功利用聲波攻擊了加速度感測器，並且成功入侵智能手機和智能可穿戴設備Fitbit手環。

研究簡介

這項研究主要是模擬聲學攻擊電容式MEMS加速度感測器，通過故意製造干擾來達到欺騙感測器的目的。微處理器和嵌入式系統往往過於「盲目信任」這些感測器的輸出，使得攻擊者可以有機可乘，人為地為微處理器和嵌入式系統有選擇性地輸入一些數值。

正如研究人員在論文中所述，這項研究的貢獻主要在於以下三方面：

第一，物理建模，主要針對MEMS加速度感測器的惡意聲學干擾。

第二，電路缺陷研究，正是由於電路缺陷，所以MEMS加速度感測器和系統對於聲學入侵攻擊，才會存在安全漏洞。

第三，兩種軟體防禦方法，減輕MEMS加速度感測器的安全風險。

密歇根大學的計算機科學和工程系的副教授 Kevin Fu 領導這一研究，團隊利用精準調諧的鈴聲，欺騙了不同型號的加速度感測器。這種欺騙攻擊方式，成為了進入這些設備的一個後門，使得攻擊者可以利用它對於設備發動攻擊。

對於這項研究，教授這麼說：

「我們的研究顛覆了關於底層硬體的普遍假設。如果你站在計算機科學的角度，你不會發現這個安全問題。如果你站在材料科學的角度，你也不會發現這個安全問題。只有你同時站在計算機科學和材料科學的角度，你才會發現這些安全漏洞。」

加速度感測器

這項研究攻擊方式是聲波，攻擊對象是加速度感測器。所以，我們簡單介紹一下加速度感測器的相關知識和應用場景。

（圖片來源：密歇根大學）

加速度感測器，是一種能夠測量三維空間中物體速度變化的感測器。通常由質量塊、阻尼器、彈性元件、敏感元件和適調電路等部分組成。根據感測器敏感元件的不同，常見的加速度感測器包括電容式、電感式、應變式、壓阻式、壓電式等。

加速度感測器廣泛應用於汽車電子、航空航天、醫療電子、無人機、智能手機、智能硬體、物聯網等工業和消費電子領域。它可以採集物體的加速度數據信息，發送給晶元和嵌入式系統進行分析和決策。它的用途包括飛機導航、遊戲控制、手柄振動和搖晃、汽車制動啟動檢測、地震檢測、工程測振、地質勘探、振動測試與分析、安全保衛等等。

攻擊演示

為了演示和模仿這些攻擊，揭示相關的安全漏洞，研究人員扮演了白帽黑客，進行了幾個實驗。

實驗一：他們通過播放不同的惡意音樂文件，控制加速度感測器，讓三星 Galaxy S5 手機的晶元輸出信號拼出單詞「WALNUT」。

（圖片來源：密歇根大學）

實驗二：他們利用價值5美元的揚聲器，欺騙控制 Fitbit 手環的加速度感測器，讓實際上沒有運動過一步的 Fitbit 手環，形成虛假計數的假象。

實驗三：他們通過智能手機的揚聲器播放了一段「惡意病毒」音樂文件，控制安卓手機的加速度感測器，該加速度感測器是控制玩具車的應用程序所信任的。他們欺騙了該應用程序，從而能夠遠程控制一輛玩具汽車。

攻擊原理

電容式MEMS加速度感測器，在加速過程中，通過對質量偏差的感知來測量加速度值。下圖正是MEMS加速度感測器的原理圖。

（圖片來源：密歇根大學）

當遭受到加速力時，感知的質量會發生變化，從而引起電容變化，再轉換成一個模擬電壓信號。電壓信號則可以代表感知到的加速度。

聲學壓力波，會對於其傳播路徑上的物體產生影響。在共振頻率下，感知質量的彈性結構會受到聲學干擾的影響，取代原有的質量感知，從而產生虛假的加速度信號。這一過程有點類似歌唱家在歌唱過程中，發出的聲音震碎玻璃杯，這同樣也是一種共振現象。

這種被欺騙後的加速度信號和聲學干擾信號相關，如下圖所示。這裡有一點很重要，彈性結構的共振頻率與其物理設計特徵相關，而聲學干擾的共振頻率必須匹配彈性結構的共振頻率，從而成功製造這種虛假的加速度。

（圖片來源：密歇根大學）

所以，對於MEMS加速度感測器的聲學攻擊方案很簡單：

在聲學正弦信號上，對於希望感測器輸出的信號進行振幅調製，但是必須要求聲學信號的頻率和MEMS感測器的共振頻率一致。

下圖展示了研究人員如何欺騙MEMS加速度感測器，輸出信號帶有類似字母"WALNUT"。

（圖片來源：密歇根大學）

如果某個系統或者設備使用了這種具有安全漏洞的MEMS感測器，進行自動化的狀態改變決策，那麼攻擊者很有可能利用這種漏洞發動攻擊。

為了演示這個過程，正如我們前面提到的實驗三，研究人員展示了利用一部三星Galaxy S5 智能手機，它正在運行一個控制玩具車的應用程序。這個應用程序對於玩具車的控制，基於智能手機MEMS加速度感測器的測量信號。在正常情況下，用戶可以傾斜手機至不同的角度，從而控制汽車運動的方向。通過聲學攻擊，汽車可以在無需移動手機的情況下運動。

（圖片來源：密歇根大學）

受影響的感測器型號

實驗只測量了來自5個不同晶元製造商的20種不同MEMS加速度感測器的信號。但是，除了加速度感測器，其他的MEMS感測器，例如MEMS陀螺儀，也容易受到這種類型攻擊。

研究人員所測試的具有安全隱患的感測器列表如下圖所示，B代表輸出偏置攻擊，C代表輸出控制攻擊，被標註B和C的感測器型號就代表容易受到這種類型的攻擊。

（圖片來源：密歇根大學）

這些感測器並不是所有的配置條件下都會出現安全漏洞，但是至少有一種情況下會發生。實驗考慮的聲學干擾振幅在110 db的聲壓級別，低一點的振幅同樣也可以對於各種感測器產生負面影響。

電路缺陷

研究人員稱，這些系統中的缺陷來源於「模擬信號的數字化處理」。數字的「低通濾波器」篩選出最高的頻率以及振幅，但是沒有考慮到安全因素。

在這些情況下，他們無意的清除了聲音信號，從而造成安全漏洞，因此更加方便團隊人為地控制系統。

應對策略

如何具體的應對這種攻擊，大家可以參考文章末尾參考資料中的研究論文。

簡短的說，我們可以有各種各樣的技術方案，以達到安全應用感測器的目的。但是，下面是兩種普遍的應對策略：

部署MEMS感測器的時候，採用一種可以限制他們暴露於聲學干擾的途徑，例如在它們周圍部署聲學抑制泡棉。

利用數據處理演算法來拒絕反常的加速度信號，特別是具有在MEMS感測器共振頻率附近的頻率成分的那些信號。

研究人員在論文中介紹了兩種低成本的軟體防禦方案，可以最小化該安全漏洞，並且他們也提醒了製造商去應對這些問題。

參考資料

【1】https://spqr.eecs.umich.edu/walnut/

【2】Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, andKevin Fu, "WALNUT: Waging Doubt on the Integrity of MEMS Accelerometers with Acoustic Injection Attacks," https://spqr.eecs.umich.edu/papers/trippel-IEEE-oaklawn-walnut-2017.pdf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！