背景介紹
TEMPEST攻擊是基于目標設備上的電磁泄露進行的,然而隨著物聯網服務向輕量級化方向的發展,電子元件不斷集成,芯片尺寸趨于小型化,設備上的電磁泄露大大減少,TEMPEST已經不構成設備安全的威脅。
2020年,來自韓國的Choi等人在信息安全四大頂會之一的CCS上發表論文。他們發現開關調節器(SWREG)在芯片組里的集成會導致音頻耦合電磁泄露增加,這使得TEMPEST攻擊能被重新啟用。
電子設備的架構演進趨勢
目前大多是Tier3架構,數模、電源集成在同一芯片組內
音頻耦合電磁泄露的產生
在公共基底上,外部系統時鐘信號、模擬信號輸入輸出端(含有用音頻信號)和內置SWREG噪聲三個信號源會在電感、電容、電阻等元器件的連接下產生強耦合。在兩個載波(外部系統時鐘和內置SWREG噪聲)的高功率攜帶下,基帶上的音頻信號可能會被遠距離輻射。
基底耦合示意圖
兩個載流子分別來自于外部系統時鐘和內置SWREG噪聲
攻擊方法與實驗效果
作者用信號接收裝置(如下圖所示)竊聽一個小型音頻物聯網設備(如下圖所示)中處理的音頻信息。實驗中目標設備是不同品牌及型號的商用藍牙耳機。
竊聽所用的信號接收裝置
包括天線+低噪聲放大器+SDR+筆記本電腦
目標設備實物圖
型號為nRF52840 dongle
該芯片集成了CPU、RF、電源、
ADC、GPIO和加密引擎等組件
該芯片組件里有兩個級聯的SWREG
作者假設攻擊場景有:
(1)受害者戴著耳機打電話;
(2)假設攻擊者知道耳機型號,攻擊者可以從預先調查的頻率數據庫中知道電磁輻射頻率;
(3)通過電磁信號處理,攻擊者可以在遠距離地方實時竊聽受害人談話。
1、仿真實驗
在建模階段,作者進行仿真實驗分析了nRF52840 dongle芯片的SWREG噪聲功耗以及芯片上的泄露情況:
(1)在芯片VDDout端采集電壓頻譜,測量了SWREG噪聲的頻率及功耗,得出8MHz時四次諧波分量功率最強;
(2)在芯片ADC端口,用麥克風輸入2V的仿真掃頻音調信號(頻率為DC~20kHz,周期1秒),近距離15cm測量泄露信號的信噪比,證明TEMPEST遠距離攻擊的可能性;
(3)遠距離攻擊測試中,天線與目標設備之間距離達到5m時,發現仿真信號也能被識別。
輻射掃頻信號和噪聲功率的分布
LDO和SWREG是兩種不同的開關模式
灰色實現與虛線之間的長度表示信噪比
在SWREG模式下,信號整體功率顯著提高
2、真實實驗
真實實驗對象包括多款藍牙耳機,如下表所示。
真實場景中商用耳機設備的型號參數及實驗結果
Single channel表示使用單一信號進行遠距離攻擊的結果Cooperative是采用多輻射信號組合后
獲得新增強信號進行遠距離攻擊實驗的結果
基于建模階段對目標設備SWREG頻率估計(fSWREG),作者在“智能手機與錄音機藍牙鏈接,外界揚聲器對錄音機播放掃頻音,手機app記錄錄音機音頻信號”和“藍牙耳機與手機連接,手機上播放掃頻音”的兩種情景下,實驗步驟如下:
(1)用探針估計頻率參數;
(2)將每個目標設備設置在最高USNR頻率下,接收信號,得到最遠可攻擊距離。
實驗結論:在單一信號源下,最遠攻擊距離為10m,通過組合多輻射信號進行增強,最遠攻擊距離可達14m。
總結
該論文提出了基于SWREG噪聲進行遠距離TEMPEST的方法方法,用仿真實驗和真實實驗證明了遠距離攻擊的可行性,并提出本研究可以作為電磁側信道分析領域的新動力:混合信號SoCs的強SWREG噪聲能使密碼泄露變得更強。未來的電磁側信道攻擊可以從延長攻擊距離、減少分析所用波形數量等方面切入。
參考資料
Jieun Choi, Hae-Yong Yang, and Dong-Ho Cho. 2020. TEMPEST Comeback: A Realistic Audio Eavesdropping Threat on Mixed-signal SoCs. In Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security (CCS '20). Association for Computing Machinery, New York, NY, USA, 1085–1101. https://doi.org/10.1145/3372297.3417241
信息安全與通信保密雜志社
CNCERT國家工程研究中心
黑客技術和網絡安全
安全圈
安全圈
安全內參
LemonSec
HACK之道
Coremail郵件安全
D1Net
D1Net
SecPulse安全脈搏
