說起黑客攻擊，大部分人首先會想到軟件和網(wǎng)絡(luò)通信層面的入侵，很少有人會注意到硬件傳感器也會遭受攻擊，更令人想不到的是攻擊途徑竟然是無處不在的「聲波」。然而，最近美國密歇根大學(xué)一項研究成功利用聲波攻擊了加速度傳感器，并且成功入侵智能手機和智能可穿戴設(shè)備Fitbit手環(huán)。

　　這項研究主要是模擬聲學(xué)攻擊電容式MEMS加速度傳感器，通過故意制造干擾來達(dá)到欺騙傳感器的目的。微處理器和嵌入式系統(tǒng)往往過于「盲目信任」這些傳感器的輸出，使得攻擊者可以有機可乘，人為地為微處理器和嵌入式系統(tǒng)有選擇性地輸入一些數(shù)值。

正如研究人員在論文中所述，這項研究的貢獻主要在于以下三方面：

　　第一，物理建模，主要針對MEMS加速度傳感器的惡意聲學(xué)干擾。

　　第二，電路缺陷研究，正是由于電路缺陷，所以MEMS加速度傳感器和系統(tǒng)對于聲學(xué)入侵攻擊，才會存在安全漏洞。

　　第三，兩種軟件防御方法，減輕MEMS加速度傳感器的安全風(fēng)險。

　　密歇根大學(xué)的計算機科學(xué)和工程系的副教授 Kevin Fu 領(lǐng)導(dǎo)這一研究，團隊利用精準(zhǔn)調(diào)諧的鈴聲，欺騙了不同型號的加速度傳感器。這種欺騙攻擊方式，成為了進入這些設(shè)備的一個后門，使得攻擊者可以利用它對于設(shè)備發(fā)動攻擊。

　　對于這項研究，教授這么說：“我們的研究顛覆了關(guān)于底層硬件的普遍假設(shè)。如果你站在計算機科學(xué)的角度，你不會發(fā)現(xiàn)這個安全問題。如果你站在材料科學(xué)的角度，你也不會發(fā)現(xiàn)這個安全問題。只有你同時站在計算機科學(xué)和材料科學(xué)的角度，你才會發(fā)現(xiàn)這些安全漏洞�！�

　　加速度傳感器

　　這項研究攻擊方式是聲波，攻擊對象是加速度傳感器。所以，我們簡單介紹一下加速度傳感器的相關(guān)知識和應(yīng)用場景。

　　加速度傳感器，是一種能夠測量三維空間中物體速度變化的傳感器。通常由質(zhì)量塊、阻尼器、彈性元件、敏感元件和適調(diào)電路等部分組成。根據(jù)傳感器敏感元件的不同，常見的加速度傳感器包括電容式、電感式、應(yīng)變式、壓阻式、壓電式等。

　　加速度傳感器廣泛應(yīng)用于汽車電子、航空航天、醫(yī)療電子、無人機、智能手機、智能硬件、物聯(lián)網(wǎng)等工業(yè)和消費電子領(lǐng)域。它可以采集物體的加速度數(shù)據(jù)信息，發(fā)送給芯片和嵌入式系統(tǒng)進行分析和決策。它的用途包括飛機導(dǎo)航、游戲控制、手柄振動和搖晃、汽車制動啟動檢測、地震檢測、工程測振、地質(zhì)勘探、振動測試與分析、安全保衛(wèi)等等。

　　攻擊演示

　　為了演示和模仿這些攻擊，揭示相關(guān)的安全漏洞，研究人員扮演了白帽黑客，進行了幾個實驗。

　　實驗一：他們通過播放不同的惡意音樂文件，控制加速度傳感器，讓三星 Galaxy S5 手機的芯片輸出信號拼出單詞“WALNUT”。

　　實驗二：他們利用價值5美元的揚聲器，欺騙控制 Fitbit手環(huán)的加速度傳感器，讓實際上沒有運動過一步的 Fitbit手環(huán)，形成虛假計數(shù)的假象。

　　實驗三：他們通過智能手機的揚聲器播放了一段“惡意病毒”音樂文件，控制安卓手機的加速度傳感器，該加速度傳感器是控制玩具車的應(yīng)用程序所信任的。他們欺騙了該應(yīng)用程序，從而能夠遠(yuǎn)程控制一輛玩具汽車。

　　攻擊原理

　　電容式MEMS加速度傳感器，在加速過程中，通過對質(zhì)量偏差的感知來測量加速度值。下圖正是MEMS加速度傳感器的原理圖。

　　當(dāng)遭受到加速力時，感知的質(zhì)量會發(fā)生變化，從而引起電容變化，再轉(zhuǎn)換成一個模擬電壓信號。電壓信號則可以代表感知到的加速度。

　　聲學(xué)壓力波，會對于其傳播路徑上的物體產(chǎn)生影響。在共振頻率下，感知質(zhì)量的彈性結(jié)構(gòu)會受到聲學(xué)干擾的影響，取代原有的質(zhì)量感知，從而產(chǎn)生虛假的加速度信號。這一過程有點類似歌唱家在歌唱過程中，發(fā)出的聲音震碎玻璃杯，這同樣也是一種共振現(xiàn)象。

　　這種被欺騙后的加速度信號和聲學(xué)干擾信號相關(guān)，如下圖所示。這里有一點很重要，彈性結(jié)構(gòu)的共振頻率與其物理設(shè)計特征相關(guān)，而聲學(xué)干擾的共振頻率必須匹配彈性結(jié)構(gòu)的共振頻率，從而成功制造這種虛假的加速度。

　　所以，對于MEMS加速度傳感器的聲學(xué)攻擊方案很簡單：

　　在聲學(xué)正弦信號上，對于希望傳感器輸出的信號進行振幅調(diào)制，但是必須要求聲學(xué)信號的頻率和MEMS傳感器的共振頻率一致。

下圖展示了研究人員如何欺騙MEMS加速度傳感器，輸出信號帶有類似字母"WALNUT"。

　　如果某個系統(tǒng)或者設(shè)備使用了這種具有安全漏洞的MEMS傳感器，進行自動化的狀態(tài)改變決策，那么攻擊者很有可能利用這種漏洞發(fā)動攻擊。

　　為了演示這個過程，正如我們前面提到的實驗三，研究人員展示了利用一部三星Galaxy S5 智能手機，它正在運行一個控制玩具車的應(yīng)用程序。這個應(yīng)用程序?qū)τ谕婢哕嚨目刂�，基于智能手機MEMS加速度傳感器的測量信號。在正常情況下，用戶可以傾斜手機至不同的角度，從而控制汽車運動的方向。通過聲學(xué)攻擊，汽車可以在無需移動手機的情況下運動。

　　受影響的傳感器型號

　　實驗只測量了來自5個不同芯片制造商的20種不同MEMS加速度傳感器的信號。但是，除了加速度傳感器，其他的MEMS傳感器，例如MEMS陀螺儀，也容易受到這種類型攻擊。

　　研究人員所測試的具有安全隱患的傳感器列表如下圖所示，B代表輸出偏置攻擊，C代表輸出控制攻擊，被標(biāo)注B和C的傳感器型號就代表容易受到這種類型的攻擊。

　　這些傳感器并不是所有的配置條件下都會出現(xiàn)安全漏洞，但是至少有一種情況下會發(fā)生。實驗考慮的聲學(xué)干擾振幅在110 db的聲壓級別，低一點的振幅同樣也可以對于各種傳感器產(chǎn)生負(fù)面影響。

　　研究人員稱，這些系統(tǒng)中的缺陷來源于「模擬信號的數(shù)字化處理」。數(shù)字的“低通濾波器”篩選出最高的頻率以及振幅，但是沒有考慮到安全因素。

　　在這些情況下，他們無意的清除了聲音信號，從而造成安全漏洞，因此更加方便團隊人為地控制系統(tǒng)。

　　簡短的說，我們可以有各種各樣的技術(shù)方案，以達(dá)到安全應(yīng)用傳感器的目的。但是，下面是兩種普遍的應(yīng)對策略：部署MEMS傳感器的時候，采用一種可以限制他們暴露于聲學(xué)干擾的途徑，例如在它們周圍部署聲學(xué)抑制泡棉。

　　利用數(shù)據(jù)處理算法來拒絕反常的加速度信號，特別是具有在MEMS傳感器共振頻率附近的頻率成分的那些信號。研究人員在論文中介紹了兩種低成本的軟件防御方案，可以最小化該安全漏洞，并且他們也提醒了制造商去應(yīng)對這些問題。

　　轉(zhuǎn)載請注明來源：賽斯維傳感器網(wǎng)（mizp.cn）