So lassen sich MEMS-Sensoren per Schall manipulieren

| Redakteur: Richard Oed

Über 20 MEMS-Beschleunigungssensoren wurden von Forschern der Michigan Engineering untersucht. Dabei konnten nur drei nicht durch einfache und leicht verfügbare Hilfsmittel manipuliert werden.
Über 20 MEMS-Beschleunigungssensoren wurden von Forschern der Michigan Engineering untersucht. Dabei konnten nur drei nicht durch einfache und leicht verfügbare Hilfsmittel manipuliert werden. (Bild: Kevin Fu / Michigan Engineering)

Falsch ausgelegte analoge Komponenten ermöglichen akustische Attacken auf Embedded Systeme, die es erlauben, Teile eines Systems zu übernehmen. Modifikationen in Soft- und Hardware können diese Angriffe aber verhindern.

Dass Schallwellen dazu verwendet werden können, um Beschleunigungssensoren in Mobilgeräten zu manipulieren, wurde bereits im ersten Teil dieses Beitrags über die gemeinsame Forschungsarbeit der University of Michigan und der University of South Carolina allgemein erläutert. Dieser zweite Teil beschäftigt sich nun mit den technischen Aspekten der Arbeit.

Die Forscher fanden heraus, dass Angriffe auf Beschleunigungssensoren, die auf der kapazitiven MEMS-Technik (MEMS: Mikro-elektromechanisches System) basieren, durch die physikalischen Eigenschaften der Sensoren, aber auch durch die Auslegung der zur Signalvorverarbeitung notwendigen analogen Komponenten möglich werden. Letztere spielen dabei die entscheidende Rolle. Bei dieser Aufbereitung werden die Sensorsignale vor der Verarbeitung durch einen Mikrocontroller noch verstärkt und zur Vermeidung von Aliasing bei der A/D-Wandlung durch einen Tiefpassfilter in der Bandbreite begrenzt. Einige Beschleunigungssensoren integrieren Verstärker, Filter und A/D-Wandler (ADC) bereits auf dem Chip.

Alle diese analogen Komponenten besitzen Grenzwerte. Wird beim Verstärker der zulässige Arbeitsspannungsbereich überschritten, so übersteuert er und gibt eine konstante Gleichspannung aus, welche für Angriffe nutzbar ist, die die Forschungsgruppe als „Output Control Attacks“ bezeichnet. Für den zweiten von den Wissenschaftlern entdeckten Angriffsvektor, die sogenannte „Output Biasing Attack“ zeichnet eine zu hoch angesetzte Grenzfrequenz fg des Tiefpassfilters verantwortlich. Ist diese höher als die Resonanzfrequenz fR des Sensors, kann ein Ausgangssignal mit veränderbaren Pegel erzeugt werden.

Die zeitlich unbegrenzte Übernahme des Ausgangs ist möglich

Ein Angriff auf den Ausgang durch Output Control erlaubt es dem Angreifer, die volle und zeitlich unbegrenzte Kontrolle über diesen zu bekommen. Die Forschungsergebnisse zeigen, dass er bei Sensoren ausgeführt werden kann, die aufgrund eines falsch ausgelegten Verstärkers bei Übersteuerung durch Resonanz der Sensormasse eine konstante Spannung ausgeben. Dies ermöglicht es dem Angreifer, durch Amplitudenmodulation des gesättigten Signals eine beliebige Signalform am Ausgang zu erzeugen. Das Forschungsteam benutzte diese Methode, um das Wort „WALNUT“ als Signalform auszugeben und auf einem Oszilloskop anzuzeigen.

Möglich wird dies, da kapazitive Beschleunigungssensoren eine Sensormasse besitzen, die elastisch im Gesamtsystem befestigt ist, und sich bei Beschleunigung verschiebt. Dies ruft eine Änderung der Kapazität und damit eine Veränderung der Spannung hervor. Setzt man den Sensor Schallwellen ausreichend großer Intensität aus, so beginnt die Sensormasse zu vibrieren und gerät bei richtiger Frequenzwahl in Resonanz.

Die Auslegung des Signalverstärkers ist dabei das eigentliche Problem. Idealerweise wird er so ausgelegt, dass jede von der Sensormasse erzeugbare Spannung innerhalb des Eingangsspannungsbereiches liegt. In der Realität wird der Verstärker nach Aussage der Wissenschaftler von den Entwicklern aber meist so gewählt, dass er mit der Spannung der größtmöglichen spezifizierten Beschleunigung zurechtkommt, also nur mit einer wesentlich kleineren Amplitude. Dies erlaubt, ihn durch einen sich in Resonanz befindlichen Beschleunigungssensor in die Sättigung zu treiben, womit eine konstante Spannung ausgegeben wird.

Eine instabile Abtastung macht das System sicherer

Der Angriff mittels Nullpunktverschiebung (Output Biasing) ermöglicht die Übernahme der Kontrolle des Ausgangs für mehrere Sekunden. Die Fluktuation des Ausgangssignals bei Resonanz wird in diesem Fall nicht vollständig durch den Tiefpassfilter gedämpft. Für eine erfolgreiche Attacke muss der Angreifer das sich verändernde Signal zunächst stabilisieren. Dazu verschiebt er die Frequenz so, dass durch Aliasing beim Abtasten durch den ADC ein konstantes Gleichstrom-Aliassignal entsteht. Der Angreifer kann danach das angestrebte Signal durch Aufmodulierung der gewünschten Signalform auf die Resonanzfrequenz mittels Phasenmodulation erzeugen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44838920 / Sensorik)