COVID-bit：一个不幸的名字的无线间谍软件技巧

如果您是 Naked Security 的常规读者，您可能会猜到我们在这个虚拟旅程中将前往地球的哪个地方……。

…我们再次前往以色列内盖夫本古里安大学的软件和信息系统工程系。

该部门网络安全研究中心的研究人员定期调查与所谓的 气隙 网络。

顾名思义，气隙网络不仅与互联网断开连接，而且与任何其他网络断开连接，即使是同一设施中的网络也是如此。

为了创建一个安全的高安全性数据处理区域（或者，更准确地说，是任何比其邻居安全性更高的区域，数据无法轻易外出），没有物理线路从气隙网络连接到任何其他网络.

此外，所有无线通信硬件通常都被禁用（如果可能，最好物理移除，或者如果不能，则通过切断电线或电路板走线永久断开连接）。

这个想法是创造一个环境，即使攻击者或心怀不满的内部人员设法注入恶意代码，如间谍软件 成 系统，他们会发现要取回被盗数据并不容易，甚至不可能 输出 一次。

这比听起来更难

不幸的是，创建一个没有外部“数据漏洞”的可用气隙网络比听起来要难，本古里安大学的研究人员在过去描述了许多可行的技巧，以及如何缓解它们。

诚然，我们之前曾多次写过关于他们工作的文章，其中包括古怪的技巧，例如 望远镜 （将手机的指南针芯片变成简陋的麦克风）， 灯笼 （使用硬连线网络电缆作为无线电天线）和 粉丝 （通过改变系统负载来改变 CPU 风扇速度以创建音频“数据通道”）。

这一次，研究人员为他们的新技巧取了一个不幸且可能不必要地令人困惑的名字 COVID位，其中 COV 被明确列为代表“隐蔽”，我们只能猜测 ID位 代表类似“信息披露，一点一点”的意思。

这种数据泄露方案使用计算机自身的电源作为未经授权但可检测和解码的无线电传输源。

研究人员声称隐蔽数据传输速率高达 1000 位/秒（这是 40 年前非常有用和可用的拨号调制解调器速度）。

他们还声称，泄露的数据可以在最远 2 米的距离内被未经修改且看起来无害的手机接收——即使是关闭了所有无线硬件的手机。

这意味着安全实验室外的同伙可能能够使用此技巧毫无疑问地接收被盗数据，前提是实验室的墙壁没有充分屏蔽无线电泄漏。

所以，这是如何 COVID位 作品。

作为数据通道的电源管理

现代 CPU 通常会改变其工作电压和频率以适应不断变化的负载，从而降低功耗并有助于防止过热。

事实上，一些笔记本电脑无需风扇即可控制 CPU 温度，方法是在处理器开始变得过热时故意减慢处理器速度，同时调整频率和电压，以降低性能为代价来减少废热。 （如果你想知道为什么你的新 Linux 内核在冬天似乎构建得更快，这可能就是原因。）

他们可以做到这一点要归功于一种称为 SMPS 的简洁电子设备，简称 开关电源.

SMPS 不使用变压器和可变电阻来改变它们的输出电压，就像旧式的、笨重的、低效的、嗡嗡作响的电源适配器在过去所做的那样。

相反，他们获取稳定的输入电压，并通过使用快速开关晶体管将电压完全打开和完全关闭，将其转换为整洁的直流方波，每秒数十万次到数百万次。

相当简单的电子元件然后将这个斩波的直流信号转换成一个稳定的电压，该电压与干净切换的方波中“开”阶段和“关”阶段的时间之比成正比。

粗略地说，想象一个 12V 直流输入在 1/500,000 秒内完全打开，然后在 1/250,000 秒内完全关闭，一遍又一遍，所以它有 12/1 的时间处于 3V，并且其中 0/2 为 3V。 然后想象这个方波被电感器、二极管和电容器“平滑”成峰值输入电平的 1/3 的连续直流输出，从而产生几乎完美的 4V 稳定输出。

可以想象，这种切换和平滑涉及 SMPS 内部电流和电压的快速变化，这反过来会产生适度的电磁场（简单地说， 无线电波) 通过设备本身的金属导体泄漏，例如电路板导体迹线和铜线。

在存在电磁泄漏的地方，可以肯定的是，本古里安大学的研究人员将寻找将其用作可能的秘密信号机制的方法。

但是，您如何利用 SMPS 每秒开关数百万次的无线电噪声来传达噪声以外的任何信息呢？

切换切换速率

根据一个技巧 报告 由研究员 Mordechai Guri 编写的，是通过故意以每秒 5000 到 8000 次的速度改变每个 CPU 核心上运行的代码，突然而显着地改变 CPU 上的负载，但频率要低得多。

通过在这些相对较低的频率下创建处理器负载变化的系统模式……

…Guri 能够诱使 SMPS 进入 切换其高频开关率 以这种方式生成可以可靠地检测和解码的低频无线电模式。

更好的是，鉴于他故意产生的电磁“伪噪声”出现在 0Hz 和 60kHz 之间，结果证明它与普通笔记本电脑或手机音频芯片的采样能力非常吻合，用于数字化语音和播放音乐。

（词组 音频芯片 以上不是打字错误，尽管我们谈论的是无线电波，您很快就会看到。）

碰巧，人耳可以听到高达 20kHz 左右的频率，您需要以至少两倍于该速率的频率产生输出或记录输入，以便可靠地检测声音振荡，从而将高频再现为可行的声波，而不是只是尖峰或 DC 风格的“直线”。

CD采样率（光盘，如果你还记得的话）因此被设置为 44,100Hz，而 DAT（数码录音带) 随后不久，基于相似但略有不同的 48,000Hz 频率。

因此，当今使用的几乎所有数字音频设备，包括耳机、手机和播客麦克风中的设备，都支持 48,000Hz 的录制速率。 （一些花哨的麦克风可以将频率提高一倍、两倍甚至八倍，最高可达 384kHz，但 48kHz 是您可以假设几乎所有当代数字音频设备，甚至是您能找到的最便宜的设备，都能够达到的频率。记录。）

当音频遇到无线电

传统麦克风将物理声压转换为电信号，因此大多数人不会将笔记本电脑或手机上的音频插孔与电磁辐射联系起来。

但是你可以转换你的手机的 音频 电路成低质量，低频率，低功耗 无线电 接收器或发射器…

...只需创建一个由线环组成的“麦克风”（或一对“耳机”），将其插入音频插孔，并让它充当无线电天线。

如果你记录下电线环路中暴露的电磁辐射产生的微弱电子“音频”信号，你就会对插入“天线电话”时拾取的无线电波进行 48,000Hz 的数字重建。

因此，使用一些巧妙的频率编码技术来构造毕竟不仅仅是随机噪声的无线电“噪声”，Guri 能够创建一个隐蔽的单向数据通道，数据速率从 100 位/秒到 1000 位/秒不等。秒，具体取决于运行 CPU 负载调整代码的设备类型。

Guri 发现，台式 PC 可能会被欺骗以产生质量最好的“秘密无线电波”，提供 500 位/秒的无错误或 1000 位/秒的错误率 1%。

Raspberry Pi 3 可以 200 位/秒的速度“传输”而不会出现错误，而测试中使用的戴尔笔记本电脑可以达到 100 位/秒。

我们假设设备内部的电路和组件越紧密，对 SMPS 电路产生的隐蔽无线电信号的干扰就越大。

Guri 还建议，笔记本电脑上通常使用的电源管理控制，主要目的是延长电池寿命，减少 CPU 处理负载的快速变化影响 SMPS 切换的程度，从而降低数据承载能力隐蔽信号。

尽管如此，100 位/秒的速度足以在 256 秒内窃取 3 位 AES 密钥，在大约一分钟内窃取 4096 位 RSA 密钥，或在一天内窃取 1 MB 的任意数据。

怎么办呢？

如果您经营一个安全区域并且您担心这种隐蔽的渗漏通道：

• 考虑在您的安全区域周围添加无线电屏蔽。 不幸的是，对于大型实验室来说，这可能很昂贵，并且通常涉及昂贵的实验室电源线隔离以及用金属网屏蔽墙、地板和天花板。
• 考虑生成反监视无线电信号。 “干扰”普通音频麦克风可以数字化的频带中的无线电频谱将减轻这种攻击。 但是请注意，无线电干扰可能需要获得您所在国家/地区监管机构的许可。
• 考虑将气隙增加到 2 米以上。 查看您的平面图并考虑安全实验室的隔壁是什么。 不要让在网络不安全部分工作的员工或访客与内部设备的距离小于 2m，即使有墙挡着也不行。
• 考虑在安全设备上运行随机的额外进程。 这在隐蔽信号之上增加了不可预测的无线电噪声，使它们更难检测和解码。 然而，正如 Guri 指出的那样，“以防万一”这样做会一直降低您的可用处理能力，这可能是不可接受的。
• 考虑锁定您的 CPU 频率。 一些 BIOS 设置工具允许您执行此操作，并且它限制了发生的电源切换次数。 然而，九里 发现 这实际上只是限制了攻击范围，并没有真正消除它。

当然，如果您没有安全区域可担心……

......然后你就可以享受这个故事，同时记住它强化了以下原则 攻击只会变得更好，因此 安全真的是一段旅程，而不是目的地.

---