IT-Security

Forscher manipulieren MEMS-Sensoren per Schall

Blindes Vertrauen birgt Gefahren – auch bei Embedded Systemen. Dies hat die Forschung zweier amerikanischer Universitäten gezeigt. Sie haben nachgewiesen, dass sich Beschleunigungssensoren durch akustische Attacken gezielt manipulieren lassen.

Können Schallwellen dazu verwendet werden, Beschleunigungssensoren in Mobilgeräten so zu beeinflussen, dass ein Angreifer die volle Kontrolle über die gelieferten Daten und damit auch über das Gerät übernehmen kann? Dieser Frage ging ein Team aus Forschern der University of Michigan (U-M) und der University of South Carolina (USC) unter der Leitung von Kevin Fu, außerordentlicher Professor an der U-M, auf den Grund .

20 MEMS-Sensoren wurden überprüft

Für ihre Arbeit untersuchten die Wissenschaftler 20 auf der kapazitiven MEMS-Technik (MEMS: mikro-elektromechanisches System) basierenden Beschleunigungssensoren von fünf Herstellern, wie sie beispielsweise in Mobiltelefonen, Industrieanlagen, aber auch in implantierbaren Medizingeräten verwendet werden.

Dass durch akustische Störungen Denial of Service (DoS) Angriffe auf MEMS-Gyroskope möglich sind, ist bereits länger bekannt . Die Wissenschaftler der U-M und der USC hinterfragten nun aber eine gängige Annahme von Entwicklern: Dass Mikroprozessoren und Embedded Systeme blind darauf vertrauen können, dass eine Hardwareabstraktion allein ausreicht, um die Integrität der Sensordaten zu gewährleisten.

Die Forscher wollten einerseits herauszufinden, ob Angreifern eine vollständige Übernahme der Kontrolle über den Sensor-Ausgang möglich ist, aber auch, wie gut das Gesamtsystem generell mit nicht vertrauenswürdigen Daten umgehen kann.

Dazu modellierten sie zunächst die physikalischen Eigenschaften der Sensoren und beleuchteten anschließend die Sicherheitslücken durch Messungen an Bauelementen und am Gesamtsystem.

Eigenschaften und Auslegung der analogen Bauelemente sind kritisch

Die Forscher fanden heraus, dass Angriffe zum einen aufgrund der physikalischen Eigenschaften des Sensors, aber auch durch die Auslegung der nachfolgenden Verstärker und Tiefpassfilter möglich sind.

Kapazitive Beschleunigungssensoren besitzen eine Sensormasse, welche elastisch im Gesamtsystem befestigt ist, und sich bei Beschleunigung verschiebt. Dies ruft eine Änderung der Kapazität und damit eine Veränderung der Ausgangsspannung hervor. Wird ein Sensor Schallwellen ausreichend großer Intensität ausgesetzt, beginnt die Sensormasse zu vibrieren und gerät bei richtiger Frequenzwahl in Resonanz. Damit kann ein Angreifer das Ausgangssignal zielgerichtet beeinflussen.

Die entscheidende Rolle spielen dabei die analogen Komponenten im System. Bevor die Signale des MEMS-Sensors von einem Mikrocontroller verarbeitet werden können, müssen sie noch verstärkt und zur Vermeidung von Aliasing vor der A/D-Wandlung durch einen Tiefpassfilter in der Bandbreite begrenzt werden. Bei vielen Beschleunigungssensoren sind Verstärker, Filter und Wandler bereits auf dem Bauelement integriert.

Bei ihren Untersuchungen fanden die Forscher heraus, dass solche Systeme zwei Angriffsmöglichkeiten bieten. Zum einen kann durch einen falsch ausgelegten Verstärker bei Resonanz eine konstante Spannung ausgegeben werden, wenn er in Sättigung gerät. Mittels Amplitudenmodulation ist es dann möglich, eine beliebige Signalform am Ausgang zu erzeugen. Dieser Angriffsvektor erlaubte bei den Versuchen eine zeitlich unbegrenzte Übernahme des Sensors.

Bei der zweiten Möglichkeit wird die Frequenz des Schalls derart gewählt, dass beim Abtasten des Signals durch den A/D-Wandler Aliasing auftritt. Durch geschickte Modulation des injizierten Signals kann ein Angreifer anschließend das gewünschte Ausgangssignal erzeugen. Bei diesem Angriffsvektor gelang die Übernahme des Ausgangs nur für einige Sekunden.

Analoge Cyberattacken sind noch wenig erforscht

Die Machbarkeit wurde durch die Forschungsgruppe bewiesen, indem sie bei ruhenden Sensoren das Wort „WALNUT“ als Spannung ausgaben und es auf einem Oszilloskop darstellten. Weitere Demonstrationen beinhalteten die Übernahme eines ferngesteuerten Modellautos durch eine auf dem steuernden Mobiltelefon wiedergegebene manipulierte Musikdatei. Auch ein abgelegtes Fitnessarmband konnte zum Zählen von Schritten angeregt werden.

Das Fazit der Arbeit ist, dass die Integrität von Sensordaten bei analogen Cyberattacken derzeit nicht gewährleistet ist. Entwickler von Embedded Systemen müssen sich wohl von der Vorstellung verabschieden, dass auf von Sensoren gelieferte Daten uneingeschränkt Verlass ist, und entsprechende Vorkehrungen treffen. Mehrere Vorschläge dazu unterbreiten die Forscher ebenfalls in ihrem Bericht.

Ihre Ergebnisse präsentierten die Forscher unter dem Titel: „WALNUT: Waging Doubt on the Integrity of MEMS Accelerometers with Acoustic Injection Attacks“ auf dem IEEE European Symposium on Security and Privacy Ende April 2017 in Paris.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.