无线充电器沦为帮凶，不仅操纵语音助手，还能烧毁手机

据BleepingComputer消息，佛罗里达大学和 CertiK的一项学术研究表明，名为“VoltSchemer”的新攻击利用电磁干扰，不仅可以让现成的无线充电器操纵智能手机的语音助手，还能够对设备以高热的形式进行物理破坏。

这种近乎有些科幻的方式被研究人员描述为一种利用电磁干扰来操纵充电器行为的攻击。为了演示这种攻击，研究人员对全球九种最畅销的无线充电器进行了测试，突显了这些产品的安全性差距。

测试产品 (arxiv.org)

是什么让攻击成为可能

无线充电通常依靠电磁感应原理，利用电磁场在两个物体之间传输能量。充电器包含一个发射器线圈，交流电流经其中以产生振荡磁场，智能手机包含一个接收器线圈，可捕获磁场能量并将其转换为电能为电池充电。

无线充电系统原理 (arxiv.org)

而攻击者可以操纵充电器输入端提供的电压，并微调电压波动（噪声），以产生干扰信号，从而改变所生成磁场的特性。电压操纵可以通过插入设备来引入，不需要对充电器进行物理修改或对智能手机设备进行软件感染。

研究人员表示，这种噪声信号会干扰充电器和智能手机之间的常规数据交换，二者都使用管理充电过程的微控制器，从而能够扭曲电源信号并破坏高精度传输的数据。从本质上讲，VoltSchemer 利用了无线充电系统硬件设计和管理其通信的协议中的安全缺陷。

这为 VoltSchemer 攻击开辟了至少三种潜在攻击途径，包括过热/过度充电、绕过 Qi 安全标准以及在充电智能手机上注入语音命令。

VoltSchemer 攻击概述 (arxiv.org)

控制语音助手

这类攻击是向 iOS (Siri) 和安卓 (Google Assistant) 上的助手发送听不见的语音命令。研究人员已经证明，可以通过在充电站范围内传输的噪声信号注入一系列语音命令，实现呼叫发起、浏览网站或启动应用程序。

然而，这种攻击具有局限性，攻击者首先必须记录目标的激活命令，然后添加到电源适配器的输出语音信号中。其中在 10kHz 以下的频段中包含最重要的信息。

研究人员解释说：“当将语音信号添加到电源适配器的输出电压时，它可以以有限的衰减和失真来调制 TX 线圈上的电源信号。最近的一项研究表明，通过磁耦合，AM 调制磁场会在现代智能手机的麦克风电路中产生磁感声音 (MIS)。”

引入恶意电压波动的插入设备可能伪装成任何合法配件，通过各种方式分发，例如促销赠品、二手产品等。

加热并“引爆手机”

智能手机的设计是在电池充满后停止充电，以防止过度充电，并与充电器进行通信以减少或切断电力输送。VoltSchemer 引入的噪声信号会干扰这种通信，使电力输送保持在最大状态，并导致智能手机过度充电和过热，从而带来重大的安全隐患。

测试充电器的操作范围 (arxiv.org)

研究人员使用三星 Galaxy S8手机进行了实验，在注入CE包增加功率后，手机温度迅速升高。不久之后，由于过热，手机试图通过传输 EPT 数据包来停止电力传输，但电压操纵器引入的电压干扰破坏了这些数据包，导致充电器无响应，并受到虚假CE、RP报文的误导，不断传输功率，温度进一步升高。接着，手机进一步激活了更多保护措施：关闭应用程序，并在 126 F°（52.2℃） 时限制用户交互。当温度来到170F°（76.7℃）时手机启动了紧急关机。尽管如此，电力传输仍在继续，且温度维持在危险的 178F° (81℃)。

受测设备的热像仪扫描(arxiv.org)

破坏附近其他物品

这种 VoltSchemer 攻击类型可以绕过 Qi 标准安全机制，向附近不受支持的物品传输能量，例如汽车钥匙扣、USB 棒、支付卡和访问控制中使用的 RFID 或 NFC 芯片、笔记本电脑中的固态硬盘以及充电器附近的其他物品。

以汽车钥匙扣为例，攻击导致电池爆炸并毁坏设备。对于像USB、固态硬盘等存储设备，电压传输将导致数据丢失。

更令人难以置信的是，通过对夹着文件的回形针进行实验，研究人员成功地将其加热到 536F°（280℃），这足以点燃文件。

对上述其他物品的热扫描 (arxiv.org)

以上三种攻击方式凸显了现代充电器和标准中的安全漏洞，研究人员呼吁对其进行更好的设计，以更好地抵御电磁干扰。研究人员已向接受测试的充电器供应商披露了他们的发现，并讨论了可以消除 VoltSchemer 攻击风险的对策。