說起黑客攻擊，大部分人首先會想到軟件和網(wǎng)絡通信層面的入侵，很少有人會注意到硬件傳感器也會遭受攻擊，更令人想不到的是攻擊途徑竟然是無處不在的「聲波」。然而，最近美國密歇根大學一項研究成功利用聲波攻擊了加速度傳感器，并且成功入侵智能手機和智能可穿戴設(shè)備Fitbit手環(huán)。

研究簡介

這項研究主要是模擬聲學攻擊電容式MEMS加速度傳感器，通過故意制造干擾來達到欺騙傳感器的目的。微處理器和嵌入式系統(tǒng)往往過于「盲目信任」這些傳感器的輸出，使得攻擊者可以有機可乘，人為地為微處理器和嵌入式系統(tǒng)有選擇性地輸入一些數(shù)值。

正如研究人員在論文中所述，這項研究的貢獻主要在于以下三方面：

第一，物理建模，主要針對MEMS加速度傳感器的惡意聲學干擾。

第二，電路缺陷研究，正是由于電路缺陷，所以MEMS加速度傳感器和系統(tǒng)對于聲學入侵攻擊，才會存在安全漏洞。

第三，兩種軟件防御方法，減輕MEMS加速度傳感器的安全風險。

密歇根大學的計算機科學和工程系的副教授 Kevin Fu 領(lǐng)導這一研究，團隊利用精準調(diào)諧的鈴聲，欺騙了不同型號的加速度傳感器。這種欺騙攻擊方式，成為了進入這些設(shè)備的一個后門，使得攻擊者可以利用它對于設(shè)備發(fā)動攻擊。

對于這項研究，教授這么說：“我們的研究顛覆了關(guān)于底層硬件的普遍假設(shè)。如果你站在計算機科學的角度，你不會發(fā)現(xiàn)這個安全問題。如果你站在材料科學的角度，你也不會發(fā)現(xiàn)這個安全問題。只有你同時站在計算機科學和材料科學的角度，你才會發(fā)現(xiàn)這些安全漏洞?！?/p>

加速度傳感器

這項研究攻擊方式是聲波，攻擊對象是加速度傳感器。所以，我們簡單介紹一下加速度傳感器的相關(guān)知識和應用場景。

（圖片來源：密歇根大學）

加速度傳感器，是一種能夠測量三維空間中物體速度變化的傳感器。通常由質(zhì)量塊、阻尼器、彈性元件、敏感元件和適調(diào)電路等部分組成。根據(jù)傳感器敏感元件的不同，常見的加速度傳感器包括電容式、電感式、應變式、壓阻式、壓電式等。

加速度傳感器廣泛應用于汽車電子、航空航天、醫(yī)療電子、無人機、智能手機、智能硬件、物聯(lián)網(wǎng)等工業(yè)和消費電子領(lǐng)域。它可以采集物體的加速度數(shù)據(jù)信息，發(fā)送給芯片和嵌入式系統(tǒng)進行分析和決策。它的用途包括飛機導航、游戲控制、手柄振動和搖晃、汽車制動啟動檢測、地震檢測、工程測振、地質(zhì)勘探、振動測試與分析、安全保衛(wèi)等等。

攻擊演示

為了演示和模仿這些攻擊，揭示相關(guān)的安全漏洞，研究人員扮演了白帽黑客，進行了幾個實驗。

實驗一：他們通過播放不同的惡意音樂文件，控制加速度傳感器，讓三星 Galaxy S5 手機的芯片輸出信號拼出單詞“WALNUT”。

（圖片來源：密歇根大學）

實驗二：他們利用價值5美元的揚聲器，欺騙控制 Fitbit手環(huán)的加速度傳感器，讓實際上沒有運動過一步的 Fitbit手環(huán)，形成虛假計數(shù)的假象。

（圖片來源：密歇根大學）

實驗三：他們通過智能手機的揚聲器播放了一段“惡意病毒”音樂文件，控制安卓手機的加速度傳感器，該加速度傳感器是控制玩具車的應用程序所信任的。他們欺騙了該應用程序，從而能夠遠程控制一輛玩具汽車。

（圖片來源：密歇根大學）

攻擊原理

電容式MEMS加速度傳感器，在加速過程中，通過對質(zhì)量偏差的感知來測量加速度值。下圖正是MEMS加速度傳感器的原理圖。

（圖片來源：密歇根大學）

當遭受到加速力時，感知的質(zhì)量會發(fā)生變化，從而引起電容變化，再轉(zhuǎn)換成一個模擬電壓信號。電壓信號則可以代表感知到的加速度。

聲學壓力波，會對于其傳播路徑上的物體產(chǎn)生影響。在共振頻率下，感知質(zhì)量的彈性結(jié)構(gòu)會受到聲學干擾的影響，取代原有的質(zhì)量感知，從而產(chǎn)生虛假的加速度信號。這一過程有點類似歌唱家在歌唱過程中，發(fā)出的聲音震碎玻璃杯，這同樣也是一種共振現(xiàn)象。

這種被欺騙后的加速度信號和聲學干擾信號相關(guān)，如下圖所示。這里有一點很重要，彈性結(jié)構(gòu)的共振頻率與其物理設(shè)計特征相關(guān)，而聲學干擾的共振頻率必須匹配彈性結(jié)構(gòu)的共振頻率，從而成功制造這種虛假的加速度。

（圖片來源：密歇根大學）

所以，對于MEMS加速度傳感器的聲學攻擊方案很簡單：

在聲學正弦信號上，對于希望傳感器輸出的信號進行振幅調(diào)制，但是必須要求聲學信號的頻率和MEMS傳感器的共振頻率一致。

下圖展示了研究人員如何欺騙MEMS加速度傳感器，輸出信號帶有類似字母"WALNUT"。

（圖片來源：密歇根大學）

如果某個系統(tǒng)或者設(shè)備使用了這種具有安全漏洞的MEMS傳感器，進行自動化的狀態(tài)改變決策，那么攻擊者很有可能利用這種漏洞發(fā)動攻擊。

為了演示這個過程，正如我們前面提到的實驗三，研究人員展示了利用一部三星Galaxy S5 智能手機，它正在運行一個控制玩具車的應用程序。這個應用程序?qū)τ谕婢哕嚨目刂?，基于智能手機MEMS加速度傳感器的測量信號。在正常情況下，用戶可以傾斜手機至不同的角度，從而控制汽車運動的方向。通過聲學攻擊，汽車可以在無需移動手機的情況下運動。

（圖片來源：密歇根大學）

受影響的傳感器型號

實驗只測量了來自5個不同芯片制造商的20種不同MEMS加速度傳感器的信號。但是，除了加速度傳感器，其他的MEMS傳感器，例如MEMS陀螺儀，也容易受到這種類型攻擊。

研究人員所測試的具有安全隱患的傳感器列表如下圖所示，B代表輸出偏置攻擊，C代表輸出控制攻擊，被標注B和C的傳感器型號就代表容易受到這種類型的攻擊。

（圖片來源：密歇根大學）

這些傳感器并不是所有的配置條件下都會出現(xiàn)安全漏洞，但是至少有一種情況下會發(fā)生。實驗考慮的聲學干擾振幅在110 db的聲壓級別，低一點的振幅同樣也可以對于各種傳感器產(chǎn)生負面影響。

電路缺陷

研究人員稱，這些系統(tǒng)中的缺陷來源于「模擬信號的數(shù)字化處理」。數(shù)字的“低通濾波器”篩選出最高的頻率以及振幅，但是沒有考慮到安全因素。

在這些情況下，他們無意的清除了聲音信號，從而造成安全漏洞，因此更加方便團隊人為地控制系統(tǒng)。

應對策略

如何具體的應對這種攻擊，大家可以參考文章末尾參考資料中的研究論文。

簡短的說，我們可以有各種各樣的技術(shù)方案，以達到安全應用傳感器的目的。但是，下面是兩種普遍的應對策略：

1. 部署MEMS傳感器的時候，采用一種可以限制他們暴露于聲學干擾的途徑，例如在它們周圍部署聲學抑制泡棉。

2. 利用數(shù)據(jù)處理算法來拒絕反常的加速度信號，特別是具有在MEMS傳感器共振頻率附近的頻率成分的那些信號。

研究人員在論文中介紹了兩種低成本的軟件防御方案，可以最小化該安全漏洞，并且他們也提醒了制造商去應對這些問題。