[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

IoT 2年前 (2022) admin
742 0 0

Abstract

触摸屏已成为智能手机和平板电脑等个人设备的主要人机界面。在本文中介绍了 GhostTouch,这是第一个针对电容式触摸屏的主动非接触式攻击。 GhostTouch 使用电磁干扰 (EMI) 将虚假触摸点注入触摸屏,无需物理触摸。通过调整电磁信号的参数和调整天线,本研究可以将两种类型的基本触摸事件(点击和滑动)注入到触摸屏的目标位置,并控制它们来操纵底层设备。本研究成功地对九种智能手机型号发起了 GhostTouch 攻击,可以从目标区域以低至 14.6×19.2 像素的标准差、小于 0.5s 的延迟和最大 40mm 的距离连续注入。在几个概念验证场景中展示了 GhostTouch 攻击对现实世界的影响,包括接听/窃听电话、按下按钮、向上滑动解锁和输入密码。最后讨论了减轻攻击的潜在硬件和软件对策。

0x01 Introduction

触摸屏允许用户使用手指与计算机进行交互,并已成为鼠标和键盘的流行替代品。特别是电容式触摸屏提供多点触控能力、长使用寿命和成本效益,因此已广泛应用于智能手机、平板电脑和手表等个人设备,甚至和航天器和医疗等安全关键设备。

可靠和准确的触摸感应是所有设备上触摸屏的关键要求。然而,测量小电场的能力也使电容式触摸屏对电磁干扰 (EMI)和充电器噪声等环境影响敏感,这可能会导致虚假触摸,从而极大地损害用户体验和甚至导致意外的设备行为。例如,有许多关于由荧光灯和故障充电器发射的 EMI 引起的无响应、自攻和故障触摸屏的报告。

乍一看,EMI 对电容式触摸屏的影响似乎在很大程度上无法预测,因此可能无法用于针对底层设备的针对性攻击。因此,在本文中的动机和重点是解决攻击者是否有可能使用 EMI 在没有任何物理接触的情况下向触摸屏注入可控假触摸并以可预测的方式操纵底层设备的研究问题。之前已经研究过对设备的 EMI 攻击。据研究者所知,还没有公开的针对电容式触摸屏的 EMI 攻击可以在不需要任何物理接触的情况下操纵触摸屏上的触摸点。为了实现攻击,必须克服两个技术挑战:

1) EMI 很难影响触摸屏,因为现代触摸屏和设备经过全面的电磁兼容性 (EMC) 测试并利用屏蔽等抗干扰设计和布局优化以避免环境干扰的影响。为了应对这一挑战,精心设计了发射天线、信号频率和攻击距离,以提高电磁信号传播增益,从而实现有效的触控注入。

2) 即使可以注入触摸,在触摸屏细节未公开且因设备而异的情况下,仍然难以创建可预测的触摸事件。通过探测屏幕以揭示触摸屏细节并相应地调整攻击信号的参数以注入可预测的触摸事件,例如在目标位置的点击、向上滑动或向下滑动。

此攻击可以在没有任何物理接触的情况下将两种类型的基本触摸事件(点击和滑动)注入触摸屏的目标位置。大多数复杂的手势都可以通过这两种基本交互的组合来实现。通过调整电磁信号参数和调整天线可以控制假触摸的位置和模式,实现长按、滑动选择、滑动滚动等各种触摸行为,具体取决于在设备型号上。

 

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

使用上图所示的设置演示了这种攻击在现实世界中的可行性。在咖啡馆、图书馆、会议室或会议大厅等地方,人们可能会将智能手机面朝下放在桌子上。攻击者可以将攻击设备嵌入桌面,远程发起攻击。例如,攻击者可能会冒充受害者接听电话,从而窃听私人对话,或访问恶意网站。

0x02 Background

系统架构下图显示了电容式触摸屏的典型系统架构,其中包括触摸传感器、模拟前端集成电路 (AFE IC) 和微控制器单元 (MCU)。 触摸传感器由发射 (TX) 和接收 (RX) 电极网格组成,这些电极由透明导电材料制成,例如氧化铟锡 (ITO)。 AFE IC 将激励信号发送到 TX 电极并测量来自 RX 电极的电荷信号。 充电信号被数字化并发送到 MCU,MCU 处理信号并检测触摸事件。 该架构旨在支持实现多点触控感应的两种有效方法,即互电容感应,它涉及如何测量单点的电容变化,以及扫描驱动方法,它与互电容感应结合使用 定位接触点。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

互电容感应:当激励信号施加到 TX 电极时,电极会产生电场,从而产生电荷流向气隙 RX 电极,在RX和TX电极在每个交点之间形成一个相互电容CM,如下图(a)所示。当手指触摸屏幕时,它会吸收一部分电场,并将互电容变为 CM -ΔCM,其中 ΔCM 是由吸引到手指的电荷引起的。在这种情况下,电容的变化会改变 RX 电极测量的电荷信号,并检测到 RX 和 TX 交点处的触摸点。激励信号通常是频率为 100 kHz 至 500 kHz 的方波。互电容感应优于自电容等其他方法,因为它可以通过利用 TX-RX 对有效地定位触摸点。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

扫描驱动方法:扫描驱动法 (SDM)旨在通过依次激发所有 TX 电极来定位屏幕上的触摸点,如上图(b)所示。由于一次只有一个 TX 被激发,触摸屏可以通过激活的 TX-RX 对的行和列将触摸定位到特定位置,并且还可以支持多点触控检测。 SDM涉及几个主要参数:TX电极的数量N,扫描所有TX电极所需的时间Tp,以及扫描一个TX电极所需的时间Tp1。与其他方法相比,扫描驱动方法结构简单、感应时间短、信噪比(SNR)低,已被大多数智能手机采用。

0x03 Feasibility of Injecting Touches with EMI

电容式触摸屏根据 RX 电极上的电荷信号检测触摸,并通过扫描 TX 电极来定位触摸。然而,RX 和 TX 电极本质上是电磁波可能耦合(即转换为电信号)并干扰触摸感应的导体。因此有动力探索利用电磁干扰(EMI)将假触摸点注入各种智能手机的触摸屏的可行性,并分析注入的触摸点的分布。

电磁干扰:当设备环境中存在不希望的电压或电流时,就会出现电磁干扰。这可能导致故障或性能下降。电压或电流可能会通过传导或辐射影响设备。在案例中关注辐射产生的电磁干扰,它可以通过电磁耦合干扰设备,这种现象会在设备的电线或电路中产生电荷。麦克斯韦方程解释了电磁耦合的原理:∮∂ΣE·dl = − ∫Σ(∂B/∂t)·dA,其中∂Σ是闭合轮廓,Σ是由∂Σ包围的表面,E是电场,B是磁场,dl 是 ∂Σ 的无穷小向量,dA 是 Σ 的无穷小向量。在触摸屏中,测量电路可视为闭合轮廓∂Σ。穿过触摸屏表面 Σ 的电磁辐射的变化磁场 B 可以感应出电动势,如方程的左边部分,这可能会影响触摸屏的电容测量。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

 

实验装置:实验装置如上图(a)所示。使用静电枪产生强脉冲信号,该信号被发送到用杜邦跨接线制作的天线,并被转换为强电磁干扰。静电枪可以产生波形如上图(b)所示的短脉冲,脉冲幅度可以从1kV到18kV不等。在本实验中,幅度设置为 10kV。在天线和手机触摸屏之间放置一块 5mm 厚的亚克力板,并在天线的两种位置注入 EMI:平行于手机的垂直或水平边缘。在 12 种手机型号上进行了实验,结果如下表所示。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

结果:虽然智能手机的电容式触摸屏经过了彻底的电磁兼容测试和抗干扰设计,但在12款被测智能手机中,有8款易受EMI影响。研究者记录并分析了 8 部手机上注入点的分布情况。观察到关于注入点的密度和分布的两种类型的结果。在8个易感手机中,2个只能注入稀疏假点,6个可以注入密集假点,表明易感性更大,攻击成功率更高。注入点在 3 部手机上沿触摸屏的水平线分布,在其他三部手机上沿垂直线分布,验证了沿触摸屏水平和垂直方向注入假点的可能性。

触点分布观察:以谷歌 Pixel 1、Nexus 5X 和华为 P10 Plus 为例展示了注入触点的分布。使用 Android 调试桥 (ADB) 记录接触点数据。下图显示了注入点在三个音素上的可视分布,下图显示了注入点沿水平(X 轴)和垂直( Y 轴)方向。结果表明,超过一半的注入点几乎均匀分布在放置天线的触摸屏的特定线上,垂直(谷歌 Pixel 1 和 Nexus 5X)或水平(华为 P10 Plus)。假点分布的方向与天线的方向相同。分布差异是由于不同的触摸屏布局,尤其是 RX 电极。比如 Nexus 5X 的 RX 电极是竖直的,而华为 P10 Plus 的 RX 电极是水平的,都对应了这些手机上的假点分布。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

电容变化的观察:根据触摸屏的原始电容数据进一步探索假触摸点背后的原因。使用 ADB可以记录华为 P10 Plus 在电磁干扰之前和期间的电容数据。通过计算电容数据的差异来获得由 EMI 引起的变化,并将结果绘制在下图中。屏幕中间的一条线的电容急剧下降,这对应于该手机上注入点分布的上图(c)。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

可行性研究证实,各种手机型号的触摸屏都容易受到 EMI 的影响。因此,攻击者可以在没有任何物理接触的情况下将虚假触摸点注入受害者智能手机的触摸屏。然而,作为下一步,将研究将随机电磁干扰转换为可注入可控触摸事件并在现实生活场景中操纵智能手机的精细电磁攻击的方法。

0x04 Threat Model

攻击者的目标是通过以非接触方式向触摸屏注入虚假触摸来操纵受害者设备。对攻击做出以下假设:

• 受害者设备:受害者设备配备了电容式触摸屏,例如智能手机或平板电脑。该设备在攻击前保持不变,并在攻击期间面朝下放置在表面(例如桌子)上。

• 攻击者的知识:攻击者可能知道受害者的设备型号,并事先获取相同型号的设备进行研究。此外,攻击者可能会通过社会工程获取受害者的电话号码。

• 攻击者的能力:攻击者只能通过电磁信号操纵触摸屏来攻击设备。但是,攻击者无法物理触摸受害设备或要求用户执行任何任务。

• 攻击设置:攻击者可能将攻击设备隐藏在受害者设备可能连接到表面的桌子下方(例如,会议室的桌子下方或充电站)。攻击者可以远程控制攻击设备。

0x05 Attack Design

在本节中将介绍 GhostTouch,这是针对智能手机电容式触摸屏的第一次非接触式攻击。目标是将可控的触摸事件(例如点击和滑动)注入触摸屏的目标区域,并使用它们来操作设备。为实现这一目标,需要解决以下技术挑战:

1) 有效注入假触点:虽然研究证实 EMI 注入是可行的,但假点是通过反复试验后使用不可预测的信号注入的。为了实现强大的攻击,需要了解干扰过程并设计电磁信号以进行有效和高效的注入。

2)创建可控的触摸事件:之前的工作和可行性研究中的假触摸点只能随机分布在屏幕上。为了实现可控制的触摸事件,例如点击和滑动,需要将假触摸点限制在屏幕的目标区域并根据需要调整它们的位置。

为了解决第一个挑战,研究了影响接触点注入有效性和效率的三个主要因素,即发射天线、信号频率和攻击距离。目标是为这些因素找到最佳选择,结合起来可以以可重复且经济高效的方式实现接触点注入的最大强度。为了解决第二个挑战,研究了使随机分布的触摸点重复出现在触摸屏的狭窄区域中的方法。通过调整发射时机、发射周期和天线位置,可以控制注入的接触点的位置。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

GhostTouch 的设计如上图所示。在第一阶段通过选择合适的天线、选择信号频率和控制攻击距离来准备 EMI 信号以进行有效的接触点注入。在第二阶段通过对触摸屏的探测、同步和调整关键信号参数来设计可控触摸事件的 EMI 信号。在这些阶段之后,精心制作的 EMI 信号由天线发出,攻击智能手机的触摸屏。 GhostTouch 可以诱导出两种基本的触摸事件,点击和滑动,可以针对各种攻击场景构建更复杂的触摸行为。

A. 有效的接触点注入

在第一阶段研究了影响触摸点注入效果和效率的主要因素,包括发射天线的类型和长度、EMI 信号的频率以及发射天线与触摸屏之间的距离。通过寻求找到这些因素的最佳组合,以增加接触点注入的可能性。虽然发射功率对 EMI 起着重要作用,但通常认为功率越高干扰越强,因此在攻击设计中不讨论发射功率。
在攻击中,电磁干扰需要满足两个要求:

(1)感应电动势的强度需要足够高以影响触摸感应,

(2)电磁干扰需要只影响触摸屏的一部分以便注入的触摸点可以出现在受限区域而不是整个屏幕。

为了满足这些要求,详细阐述了在发射天线、信号频率和攻击距离方面的考虑。

(1)发射天线

电磁场可以由天线产生和接收。在攻击中,触摸屏中的电极基本上充当天线,无意中接收到电磁干扰。 RX 电极特别脆弱,因为感应的电信号会直接影响触摸感应。为了最大限度地提高电磁耦合的效率,用来发射 EMI 的天线需要与触摸屏中的等效天线匹配,包括天线类型和长度。天线的种类很多,主要包括电偶极子(如赫兹天线)天线和磁偶极子(如小环形天线)天线。触摸屏的电极可视为电偶极天线,由TX电极、RX电极和AFE IC组成的电路可视为磁偶极天线。因此,可以使用这两种天线来传输 EMI。为了使天线的长度在相似的幅度上匹配,测量了触摸屏的尺寸并进行了粗略估计。

例如,Nexus 5X 的尺寸为 147×72.6 mm。已经验证自制的电偶极天线使用 140 毫米杜邦跳线和 4 毫米直径尖端天线(总线圈长度约为 70 毫米)在攻击中是有效的,因为它们与触摸屏中的等效天线匹配。

(2)信号频率

电磁信号的频率决定了它被给定天线发射或接收的效率。可以根据目标/选定天线的电气长度来估计有效信号频率。电长度定义为天线物理长度与电磁信号波长之比。从经验上讲,电长度小于 1/20 或 1/50 的天线可以被认为是电短的,这意味着它几乎不能发射所需波长(频率)的 EM 信号。较高的天线增益通常可以通过较大的电气长度来实现,例如,当天线的物理长度与信号波长之比为 1/2 或 1/4 时。在攻击中,假设天线的物理长度为 l,那么对应于 1/50 电长度的信号频率为 c/50l,其中 c 是光速。为了使信号得到有效传输和接收,信号频率需要高于c/50l,以保证电长度高于1/50。

以之前讨论的 Nexus 5X 为例,为了让电磁信号耦合到 147mm 的 RX 电极,信号的频率需要超过 40.8MHz。为了验证估计的频率,使用 Rigol DG5072 任意波形发生器和 140mm 自制天线从 4MHz 开始进行频率扫描实验。结束频率为 70MHz,因为它是设备支持的最大频率。在实验中将信号幅度设置为 20Vpp。结果表明可以在 46MHz 的信号频率下向 Nexus 5X 的触摸屏注入大量触摸,这符合先前的估计。这里需要注意的是,如果能用合适的设备扫描70MHz以上的频率,或许还能找到其他有效频率。

(3)攻击距离

EM 信号的能量与传输距离的平方成反比。此外,距离影响电磁场的空间分布。主要有两种类型的电磁场,即近场和远场,它们的能量分布不同。近场存储信号源的能量,主要分布在源附近。根据经验,当到源的距离小于 2D^2/λ 时,可以将电磁场视为近场,其中 D 是天线的尺寸,λ 是波长。由于攻击需要电磁干扰影响屏幕的一部分并具有高强度,因此将攻击距离保持在近场内并尽可能短。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

例如,使用 140mm 天线和 46MHz 信号频率,距离天线 6mm 以内的距离可以被认为是近场。本文探讨了攻击距离对 Google Pixel 1 的影响。上图的结果表明,随着攻击距离从 5 毫米增加到 10 毫米,注入的接触点变得不那么强烈并且不那么集中。

在这个阶段通过研究发射天线、信号频率和攻击距离的最佳组合,为有效的接触点注入准备攻击信号。虽然试图通过控制攻击距离将注入的触摸点限制在一个限制区域内,但在这个阶段能达到的最佳效果是沿着目标线随机注入假触摸,如上图所示,对应到触摸屏中靠近天线的一个或多个相邻 RX 电极的位置。这是因为当驱动不同的 TX 电极时, EM 信号会耦合到 RX 电极中。请注意,不同智能手机上的 RX 电极具有不同的方向,因此特定的智能手机允许垂直或水平激发。在下一阶段将研究如何将假触摸点注入到更小的区域,例如目标点周围,并探索创建可控触摸事件的方法。

B. 创建可控触摸事件

创建可控的触摸事件,例如点击特定按钮或向特定方向滑动,需要对注入的触摸点进行更高级别的控制。具体来说,需要将触摸注入到屏幕上的目标点而不是沿着目标线,并且能够操纵注入的触摸点,例如它们的形状、位置和移动。

例如,使用 140mm 天线和 46MHz 信号频率,距离天线 6mm 以内的距离可以被认为是近场。本文探讨了攻击距离对 Google Pixel 1 的影响。结果表明,随着攻击距离从 5 毫米增加到 10 毫米,注入的接触点变得不那么强烈并且不那么集中。

在这个阶段通过研究发射天线、信号频率和攻击距离的最佳组合,为有效的接触点注入准备攻击信号。虽然试图通过控制攻击距离将注入的触摸点限制在一个限制区域内,但在这个阶段能达到的最佳效果是沿着目标线随机注入假触摸,对应到触摸屏中靠近天线的一个或多个相邻 RX 电极的位置。这是因为当驱动不同的 TX 电极时, EM 信号会耦合到 RX 电极中。请注意,不同智能手机上的 RX 电极具有不同的方向,因此特定的智能手机允许垂直或水平激发。在下一阶段将研究如何将假触摸点注入到更小的区域,例如目标点周围,并探索创建可控触摸事件的方法。

(1)目标点触摸注入

向屏幕上的目标点注入触摸的核心思想是将干扰信号与触摸屏的 TX 扫描同步。在详细说明之前,先探查 TX 电极以了解激励信号是如何发送的。

触摸屏探测:并非所有智能手机制造商都发布了他们的设备触摸采样率。此外,一些设备会根据显示的应用程序或其他参数(例如,最后一个接触点时间)动态改变采样率。对于这些,可以通过探测屏幕来找到屏幕的采样率和当前感测位置。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

与 TX 扫描同步:在上图中说明了本研究的想法。根据探测结果绘制了激励信号。生成一个持续时间 Td 等于或小于扫描一个 TX 电极 Tp1 的时间的短干扰信号。假设在驱动第2个TX电极时信号耦合到一个RX电极,那么在被干扰的RX电极和第2个TX电极的交点处会出现一个假触摸点。触摸点不会出现在其他位置,因为驱动其他 TX 电极时没有干扰。通过设置干扰信号 T 的周期等于扫描周期 Tp,即与目标 TX 电极同步,可以使假触摸点重复出现在同一点,触摸屏可以将其检测为单击。

(2)接触点的操作

可以通过调整传输时间、持续时间 Td 和周期 T 等几个波形参数来操纵触摸点的形状、位置和移动。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

形状:可以通过调整干扰信号的持续时间Td来控制形状,因为随着持续时间的增加,当RX电极受到干扰时,会驱动更多的TX电极,从而使触摸点出现在更大的区域。但是,在调整持续时间时需要权衡取舍。当持续时间太短时,干扰的强度可能太小而不会影响触摸屏。通过在 Nexus 5X 上进行的实验证明了操纵形状的能力,将持续时间 Td 设置为 0.5Tp1、Tp1、2Tp1、3Tp1 和 4Tp1。上图显示了触摸点在屏幕上的视觉分布。随着持续时间的增加,注入的接触点在形状上变得更加分散。默认情况下,在 GhostTouch 中,将持续时间 Td 设置为 Tp1。

位置:假触摸点的位置可以通过相交的 RX-TX 电极建模。可以通过调整干扰的时间和天线的位置来将假触摸点注入屏幕上的任何位置。为了在目标 TX 电极被驱动时进行干扰,攻击者可以根据现有位置的反馈或基于实时触摸屏探测的预测来调整时序。为了干扰目标 RX 电极,攻击者可以将天线移动到 RX 附近或使用天线阵列。

移动:在某些情况下,攻击者需要移动注入的触摸点,例如,调整触摸位置或创建滑动。可以通过将传输周期 T 设置为高于或低于扫描周期 Tp 来轻松实现沿 RX 电极的两个方向的触摸移动。与 Tp 的偏差量决定了运动的速度。为了演示移动注入点的能力,在具有不同传输周期的 Nexus 5X 上进行了实验。使用 ADB 记录触摸数据并计算移动速度。下图中的结果表明,可以以任意方向和速度移动假触摸点。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

(3)可控触摸事件

通过上述生成和微调 EMI 信号的方法,能够创建可控的触摸事件。具体来说,在 GhostTouch 中,关注两种类型的基本触摸事件,即点击和滑动。使用下图中所示的实验设置和干扰信号来验证在 Nexus 5X 上注入控制标签的点击、向上滑动和向下滑动。干扰信号是使用 Rigol DG5072 任意波形发生器和自制天线。对于每种类型的触摸事件,尝试 20 次,每次尝试持续 3 秒。研究者能够持续地向触摸屏上的任何目标区域注入敲击,即使是屏幕中间小至 180×180 像素的区域,成功率为 85%。此外可以将向上滑动和向下滑动注入目标线的任何部分,成功率均为 90%。攻击者可以使用注入的点击和滑动来为各种攻击场景构建更复杂的触摸行为,将在下面展示。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

C. 攻击场景

在三个实际攻击场景中展示了 GhostTouch 的威胁,这些攻击场景可以通过注入点击和滑动来实现。

(1) 植入恶意软件:假设对手知道受害者的电话号码或消息应用程序帐户,并向受害者发送包含恶意链接的消息。当受害者的手机收到消息后显示通知时,攻击者可以使用 GhostTouch 来点击通知。在自动打开消息应用程序后,攻击者然后点击恶意链接以启动恶意软件的路过式下载。

(2)建立恶意连接:为了建立恶意连接,例如 WiFi 或蓝牙,攻击者向受害者的手机发送请求或使用 NFC 标签触发连接,这将使手机显示通知。攻击者可以点击通知打开连接请求窗口,然后点击“连接”按钮批准请求。建立连接后,攻击者可以进行中间人攻击或使用蓝牙鼠标控制手机。

(3) 接听/窃听电话:假设对手知道受害者的电话号码,并拨打该号码并在受害者的设备上进行滑动以接听电话。这使攻击者能够窃听受害者用户。当手机切换到静音模式时,这种攻击不会引起受害者的注意,许多用户在睡觉、工作或开会时会这样做。攻击者还可以通过在第一次响铃之前接听电话来阻止电话响铃。

0x06 GhostTouch System Evaluation

A. 实施

GhostTouch 系统由两部分组成,触摸注入器和手机定位器,如下图所示。触摸注入器可以将触摸事件(例如点击、滑动或多点触摸)注入触摸屏,并且它包括一个信号发生器、一个放大器、一个开/关开关和一个接收天线阵列。开/关开关用于选择正确的天线以发射 EMI 信号,以便将触摸事件注入目标 RX 线路。手机定位器可以识别触摸屏的位置。它由传感天线阵列、数据采集设备和位置计算器组成。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

天线阵列:天线阵列由发射天线和传感天线组成。它将放置在适当的位置,以方便信号发射和感应并攻击目标设备。请注意,发射天线是偶极天线,因为它们设计用于沿 RX 线注入触摸点,而感应天线是线圈天线,因为它们设计用于接收从触摸屏辐射的信号。

触摸注入器:在实验中实现了两种具有不同功能的触摸注入器:一种功能强大的成熟注入器和一种更小的便携式注入器。如下图所示,强大的注入器利用任意波形发生器 (Rigol DG5072)、放大器 (Mini-Circuits ZHL-100W-GAN+) 和开/关时间继电器。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

便携式注入器由信号示波器和集成了放大器和天线的 ChipSHOUTER组成。信号示波器生成方波,驱动ChipSHOUTER 发射宽带信号脉冲,该信号覆盖被证明可有效干扰触摸屏的频段。由于 ChipSHOUTER 的硬件限制,脉冲宽度被限制在 80ns 和 960ns,ChipSHOUTER 的脉冲输出示如下图所示。由于强大的注入器具有发射不同EMI信号的灵活性,利用强大的版本进行可行性评估。 ChipSHOUTER 注入器用于验证现实场景中的攻击,因为它体积小,而且它代表了实验的下限。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

手机定位器:如上所述,天线阵列是手机定位器的一部分,可以与两个触摸注入器结合使用。传感天线使用 NI MyDAQ的数据采集设备。该设备可以测量和分析触摸屏的辐射信号,并推断手机相对于感应天线的位置。请注意,可以重用手机定位器的硬件来辅助攻击同步。在本节的其余部分,将评估单点触摸注入、多点触摸注入、现实世界中的触摸注入场景以及手机定位器。

B. 单点注入

(1)实验方法

实验设置:设置发射持续时间为3Tp1,发射周期与扫描周期Tp(120Hz)相同,信号频率为EMI 为 46MHz。天线阵列与屏幕之间的默认距离为 5mm。目标智能手机(默认为 Nexus 5X)连接到笔记本电脑以进行触摸注入记录。

数据收集:为了量化攻击结果,需要获取触摸事件数据,例如注入点的时间戳和位置。可以从 Android 应用程序或使用 Android Debug Bridge (ADB) 获取数据,这是一个可以与 droid 设备通信的命令行工具。

指标:从两个角度评估 GhostTouch 的性能:与真实人类触摸的相似性和攻击能力。注入的接触点和真实的人类接触点可能主要在两个方面有所不同,接触点的形状和集中度,可以通过以下指标进行量化:

1.范围,即注入点 X/Y 坐标的最大值和最小值之差。它描述了注入点的形状。

2.X/Y 坐标的标准偏差,它描述了注入点的浓度。

评估攻击能力的指标包括注入速度、攻击延迟和成功率:

1.射出速度,即单位时间内射出的点数。

2.攻击延迟,即从攻击开始到注入第一个成功的触摸事件所需的时间。

3.成功率,即成功注入目标触摸事件的攻击比例。

(2)点击

使用实验设置来评估注入目标点击的性能,将传输周期设置为 Tp 并重复实验 100 次,每次持续 3 秒。由于 Tp 随时间漂移,不断测量它并调整发射周期。通过 ADB 记录注入点的数据后,计算 x 和 y 坐标的范围、坐标的标准偏差和注入速度。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

注入点与真实触摸事件的相似性:注入点的度量如上图所示。rangex和rangey的平均值分别为36.3像素和175.8像素,stdx和stdy的平均值分别为5.4像素和44.0像素。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

为了将GhostTouch 与真实触摸事件进行比较,招募了 30 名来自三个专业(学生、教授、行政人员)的志愿者,其中包括 8 名女性和 22 名年龄在 20 至 50 岁之间的男性,点击 Nexus 5X 上的“主页”按钮,用拇指和食指各 30 次。然后分别从志愿者的点击和攻击者注入的点击中随机选择 1800 个样本。

GhostTouch 与真实触摸事件的对比如上图所示。与人类点击相比,注入的点击在 x 轴上的分布范围更小,在 y 轴上的分布范围更大。轴。但是,注入的点击和用户的点击之间的差异非常小,因此无法与源区分开来。

攻击能力:

(1) 接触速度:平均速度为 45.38 点/秒。考虑到最大的人类接触速度约为7点/秒,这个注入速度可以满足攻击者的要求。

(2) 一致性是指注入点将在一个位置停留多长时间,这一点很重要,因为对手可能需要反复敲击同一点几秒钟。例如,将“点击”注入 Nexus 5X 的触摸屏 15 秒,注入的点会在一个小区域内停留 15 秒。详细结果见下图。 (3)攻击延迟小于0.5秒。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

(3)滑动

通过在 Tp 附近稍微改变传输周期 T,可以“向上滑动”或“向下滑动”。有关注入的滑动样本,如下图。滑动的方向和速度与 T 和 Tp 之间的差异有关。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

通过将传输周期 T 设置为 7.7ms 并反复尝试向上滑动来评估注入滑动的攻击延迟和成功率。如果在 Nexus 5X 上第一次向上滑动之前没有点击或向下滑动,则视为成功。

(1) 为了计算成功率,在第一次成功向上滑动之前测量错误事件的数量,例如点击和向下滑动。虚假事件的数量是 80 次中的 30 次,导致成功率为 62.5%(50/80)。

(2) 攻击延迟:平均需要1.6秒才能注入一次成功的向上滑动。详细结果如下图所示。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

C. 多点触控注入

多点触控手势已经成为一种流行的输入操作,它们可以是多个同时触摸,也可以是在屏幕不同位置的多次滑动。实现多点触控注入最稳健的方法是同时将触摸或滑动注入不同的 RX 行。为了在触摸屏上注入多重触摸,使用了天线阵列。开/关开关将在正确的位置选择多个天线来发射 EMI 信号,每个选定的天线都与相应的 RX 线耦合。因此,攻击者可以成功地同时沿目标 RX 线注入点击并实现多点触摸注入。本文验证了使用三个天线注入三个触摸点的可行性,多点触摸注入的性能结果类似于使用一个天线的攻击能力和属性。

D. 触控注入场景

实验设置:为了演示注入点击和滑动的威胁,说明了使用 ChipSHOUTER 触摸注入器设置进行的三种攻击场景和使用带有天线阵列的强大设置的一种场景。使用 ChipSHOUTER 设备通过充电至 500V 并对其电容器放电来产生脉冲。虽然脉冲的形状是固定的,但可以通过调整驱动 ChipSHOUTER 的方波频率来调整发射脉冲的频率(即脉冲周期)。实验中,在发射周期等于扫描周期 Tp (120Hz) 时设置占空比为 20% 的方波信号,脉冲宽度设置为 350ns。

接听电话:在 Nexus 5X 的中线注入滑动动作来接听电话。 ChipSHOUTER 的尖端位于屏幕中间 5 毫米处。当电话被呼叫时,以 130Hz 的发射周期发射 EMI 信号以向上滑动。结果在所有 10 次测试中都成功接听了电话,平均大约需要 4.1 秒,最长为 6 秒,最短为 2 秒。

按下按钮:在屏幕上的某个按钮上注入一个点击来按下这个按钮。实现了一个 Android 应用程序。它显示一个按钮,该按钮位于 X 轴的中间,距离屏幕右侧 77d p,通常会显示“OK”或“Accept”按钮。按钮的大小为 36d p 高度和 80d p 宽度。该应用程序收集所有不在按钮上的点击,并在第一次按下按钮时停止。使用 ChipSHOUTER 评估了对 Nexus 5X 的这种攻击,尖端悬停在屏幕底部 5 毫米处。在 120Hz 的注入频率下,注入的触点需要 7.5 秒才能按下按钮。错误地注入了 11.3 个点击,直到下一个点击按下按钮。

向上滑动解锁:在 Nexus 5X 的中线注入滑动动作。对于 Nexus 5X 设备,其锁定屏幕具有“向上滑动解锁”机制。 ChipSHOUTER 的尖端位于屏幕中间 5 毫米处。在找到合适的刷卡脉冲频率(130Hz)后,刷卡解锁20次平均耗时8.5秒,最短1秒,最长20秒。

输入密码:一旦攻击者通过肩膀冲浪或社会工程学获得密码信息,她就可以利用触摸注入器来解锁手机。首先选择靠近目标区域的正确天线,并调整发射 EMI 信号的时间,以便可以在虚拟键盘中“按下”所需的数字。作为测试用例,选择了两个 PIN 码 3699 和 9999 进行测试。研究者能够分别在大约 20 秒和 1 秒内成功输入 PIN 码。可以使用 GhostTouch 输入任何 PIN 或密码,但复杂的密码需要额外的时间才能成功注入。

E. 影响触控注入的因素

评估了可能影响触摸注入器性能的因素,包括攻击距离、手机型号、ChipSHOUTER 线圈嗡嗡声和无线充电。

攻击距离:使用前文的设置来评估发射天线和触摸屏之间距离的影响,该设置可以输出高强度 EMI。这些设备在 0 到 15 毫米的范围内被攻击 40 次,每次持续 3 秒。随后,计算注入点的 x/y 坐标范围和注入速度。结果使用 Matlab 中的箱线图呈现,如下图所示。每个框的中心标记表示中位数,底部和顶部边缘分别表示第 25 和第 75 个百分位数。使用“+”符号单独绘制异常值,并且胡须延伸到除异常值之外的最极端的数据点。结果表明随着距离的增加,注入速度趋于下降,这与 EMI 的衰减有关,能够达到 40 毫米的距离。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

手机型号:使用带有 Chip SHOUTER 的便携式设置评估了对 11 款手机型号的 GhostTouch 攻击。将所有手机的攻击距离设置为 6 毫米以进行比较。广泛分布的接触点可以注入其中 9 部智能手机。因此探索是否可以在这些手机上实现 GhostTouch 攻击,一旦成功,会通过每次注入 4 秒的点击来评估性能,计算注入速度和注入点 x/y 坐标的标准偏差。记录每部手机的滑动方向。根据结果,如下表所示,可以在 11 款手机模型中的 6 款选择位置注入接触点进行 GhostTouch 攻击,因此它们容易受到攻击场景的影响。由于华为荣耀View 10的注入速度较低,将注入点击的实验时间延长至40秒并计算平均结果。对于 Galaxy S20 FE 5G 和 iPhone SE (2020),本文方法可以成功注入接触点并执行恶意操作,但并不总是高精度。这样的漏洞仍然很危险,举例来说,设法在 iPhone SE(2020)上建立了恶意蓝牙连接,平均延迟为 7.1 秒。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

ChipSHOUTER 线圈:ChipSHOUTER 在产生宽范围信号的同时,由于其外形小巧,它会发出高音可听的线圈嗡嗡声。使用 Benetech GM1357测量这种嗡嗡声。它在 ChipSHOUTER 旁边 44dB,在放置ChipSHOUTER 的桌子上方 20cm 处为 42dB,在桌子上方 30cm 处为 38dB。请注意,嗡嗡声约为 40dB。虽然在安静的房间里靠近时可以听到这种噪音,但在拥挤的地方(例如,会议厅、咖啡厅)就太微弱了。

无线充电:本研究的攻击可以在设备充电时以相同的方式成功发起。该设备的触摸屏在无线充电期间仍可完全发挥作用,因为智能手机组件可以保护触摸屏免受磁场影响。此外,无线充电器通常工作在 130-175kHz,不足以耦合到 RX 电极。

(6)手机定位器

为了精确地注入接触点,攻击者需要知道受害者的手机是如何放置的。本研究实现了手机定位器。它由传感天线 nas 和一个 NI MyDAQ 组成。在实践中可以放置一个感应天线矩阵来定位手机的位置,观察如下:触摸屏上方的感应天线可以检测到辐射信号(例如,触摸屏的TX激励信号在一个频率上的泄漏信号) 120Hz),而远离触摸屏的信号会由于衰减而检测到较弱的信号或根本没有信号。因此,感应天线用于接收泄漏信号,由 NI MyDAQ 处理以推断手机相对于感应天线的位置和方向。获取手机位置后,可以根据操作系统和目标应用来推断按键的位置,例如蓝牙连接接受对话框。

0x07 Potential Countermeasures

结果表明,某些智能手机不易受到 GhostTouch 攻击,这可能是由于更好的电磁屏蔽或有效验证。受此启发,提出了三类对策来减轻 GhostTouch 攻击的威胁:

加固:制造商可能会对触摸屏进行加固,以保护其免受 GhostTouch 攻击的威胁。首先,添加电磁屏蔽可以有效阻挡EMI。其次,增加激励信号的电压可能会增加 SNR,这将减轻 EMI 的影响。第三,可以使用基于更复杂的激励信号波形的驱动方法来滤除EMI的注入电流。虽然这些对策可以减少 EMI 对触摸屏的影响,但它们需要对触摸屏的硬件进行修改或导致更高的能耗。因此,这些对策不适用于现有的触摸屏。

[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

检测算法:厂商可以改进触摸屏的检测算法。例如,可以利用按下和抬起手指之间的触摸来检测 GhostTouch 攻击。为了探索这种方法的有效性,计算了一个 GhostTouch 攻击者和 30 名志愿者的触摸间隔。从攻击者和志愿者中随机选择 2000 个样本,并使用 Matlab 的箱线图分析触摸间隔的分布。如上图所示,攻击者的上邻低于志愿者的下邻。可以设置一个阈值,例如上图中的红线,以识别接触点属于用户还是攻击者。此外,当触摸屏受到GhostTouch 攻击而不是被人类使用时,电容分布显示出一定的模式。基于这些事实,制造商可以检测到异常的接触点,拒绝它们并警告用户。

身份验证:应用权限可能会受到限制,执行高风险操作时需要进行身份验证。例如,在连接蓝牙设备或未知 WiFi 之前进行身份验证。身份验证可以通过要求用户验证其指纹、面部或提供其PIN或密码来实现。

0x08 Conclusion

在本文中介绍了一种名为 GhostTouch 的新型攻击,它针对智能手机或平板电脑等许多移动设备上使用的电容式触摸屏。 GhostTouch 控制和塑造近场电磁信号,并将触摸事件注入触摸屏上的目标区域,无需物理触摸或访问受害者的设备。 因此,对手可以悄悄地操纵受害者的智能手机。 通过广泛的实验和评估,证明GhostTouch 攻击适用于最广泛使用的智能手机。 此外,讨论了针对 GhostTouch 攻击的可能对策。

参考链接:https://www.usenix.org/system/files/sec22summer_wang-kai.pdf

原文始发于看雪论坛(CDra90n):[翻译]GhostTouch:针对智能触摸屏的非接触性攻击

版权声明:admin 发表于 2022年3月2日 下午8:41。
转载请注明:[翻译]GhostTouch:针对智能触摸屏的非接触性攻击 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...