如需转载请注明出处,侵权必究。
论文题目:DeHiREC: Detecting Hidden Voice Recorders via ADC Electromagnetic Radiation
发表会议:S&P 2023
本文第一作者是来自浙江大学智能系统安全实验室(USSLAB)的Ruochen Zhou。实验室的主要研究方向包括物联网安全、感知安全、AI安全等。
概述
随着微型麦克风的普及,窃听行为越来越难被发现,通过窃听器获取的未经授权的语音严重威胁到商业秘密和个人隐私,但是发现隐藏的录音器并非易事。首先,和雷达、夜视相机等主动传感器不同,录音机被动检测声音引发的振动,并将其转换成电信号存储;其次,录音器离线工作,不会发起任何无线连接;此外,录音器由电池供电,不会在线路上泄漏任何痕迹。但是现有对其他类型传感器的检测方法依赖于红外辐射和无线信号,所以不适用于录音器。
由于电子设备工作时不可避免地会放出电磁辐射,本文作者提出通过检测录音机工作时的独特电磁辐射信号来探测一个正在运行的隐藏录音器。
背景
录音器结构和工作原理
录音器是一种将模拟声音转换为数字信号的电子设备。下图展示了一个典型的语音记录器的结构和工作原理。
首先,麦克风通过捕捉外部声音的振动并将其转换为电信号。这个电信号的振幅会随着声音的强度增加而增大,一般最高可达250毫伏。接下来,一个外部放大器被用来增强记录的模拟信号。然后,系统芯片(MSoC)使用可编程增益放大器通过自动增益控制来自适应地调整输入信号的振幅,并利用低通滤波器来消除高频噪音。最后,MSoC内置的模数转换器(ADC)将模拟信号转换为数字信号,然后将其传送到数字信号处理器进行进一步处理。
MSoC的电磁辐射
MSoC由数字电路、模拟电路和功率电路组成,这些电路中的电流会产生电磁辐射。因为这些电流是时变电流,所以它们会以时钟频率产生电磁辐射。而现有的电磁干扰和电磁兼容技术及规范无法完全避免电磁辐射泄露。例如,如果将近场探测器靠近运行中的任何暴露的MSoC,可以得到类似下图的48 MHz时钟频率MSoC的电磁辐射信号功率谱。
原理&工作流程
RQ1 录音器的电磁辐射轨迹有哪些特征?
为了阐明如何通过电磁辐射检测录音器,作者设计了一个实验来研究录音器放出的电磁辐射信号的特征,作者了选取不同外观、材质、MSoC类型、ADC类型的13台有代表性的录音器,在设备工作时,使用近场探测器检测录音器中泄漏的电磁辐射信号。
下表记录了13台录音器产生的电磁辐射特征。
下图以Sogou C1和iFLY B1为例进行后续分析。第一列为单次采样的结果,第二列为记录下的100次平均样本。第三列是电磁辐射信号,当两台录音机处于待机状态但没有录音时,使用红色水平线来区分信号成分和噪声。
从结果中可以观察到三个现象:
所有录音器都有20-150MHz频段的电磁辐射。
录音器的电磁辐射信号频谱呈等间距峰值,具有稳定的周期性。
EMR信号与录音器的模式密切相关,待机状态时的信号峰值间隔明显大于工作状态。
通过上述实验,作者对录音器发出的EMR信号进行了表征,可以进一步利用这些特征进行隐藏语音记录器的检测。
RQ2 录音器中电磁辐射的来自哪里?
电磁辐射信号是载波和基带的调制。在图(c)中Sogou C1在待机模式的平均峰值间隔为26.0013MHz,与其使用的MSoC(MT2523S)的系统时钟频率相同,并且峰值形状与通过扩频技术重塑的频谱模式相匹配。因此,作者推断电磁辐射信号的载波源于MSoC的系统时钟,录音器只要打开,载波就会存在。同样,图(f)中iFLY B1也有一个类似的48MHz的载波。
图(b)中,记录模式下电磁辐射平均峰值间隔为3.2264MHz,与其使用的MSoC的ADC模块的时钟频率相同,同样,图(e)中的平均峰值间隔24.0729MHz也是其使用的MSoC的ADC模块的时钟频率,剩余11种录音器也是如此。因此,作者推断电磁辐射信号的基带来源于ADC模块。
综上,录音器设备的内部电磁辐射源是其使用的MSoC的系统时钟和ADC模块的时钟频率的耦合。
RQ3 如果存在类似频谱的干扰,比如采用类似MSoC类型的设备,如何确定该电磁辐射由录音器产生?
尽管作者对录音器的电磁辐射信号进行了表征,找到了检测隐藏录音器的方法,但环境中可能会存在与录音器特征相似的可疑信号。为了判断可疑信号是录音器发出的电磁辐射还是其他电子设备的干扰,作者设计了电磁催化方法,注入电磁辐射干扰信号后观测电磁辐射强度的变化。作者比较了两种主流的电磁催化方法,分别是声音注入和电磁干扰。声音注入受麦克风最大输出能力的限制,无论注入多强的声音信号,增强电磁辐射信号的性能都不会更好。因此作者选择了电磁干扰的方式进行电磁催化,这种方法绕过麦克风直接耦合到导线上,性能更优。
作者发现了录音器设备中独特的三厘米导线,使电磁干扰的频率仅对录音器设备有效。具体来说,录音机的内置麦克风通常与PCB主板分开,它们用电线连接,由于尺寸限制,这种导线的长度在各类录音机中相似(大约三厘米)。根据麦克斯韦方程,可用EMI信号的频率很大程度上依赖于接收天线的长度,可以表示为f = c/20l,其中c为光速,l为天线的长度。因此,需要的电磁干扰的频率应该高于500 MHz。
为了寻找最佳频率,作者在400 MHz到1.5 GHz的高频载波上调制一个1 kHz的正弦信号。虽然每个记录器的最佳耦合频率不同,但当EMI信号的频率设置为980.00 MHz时,13个录音器产生稳定的EMR增量。下图为EMR催化方法对三种记录仪带来的信号增益,三种记录仪分别代表三种外壳材料。
结果表明,对于和录音器EMR信号相同频段的可疑EMR信号,只需注入特定频率的EMI信号进行二次确认,如果电磁辐射信号强度增加,则为录音器。
RQ4: 录音机功率较低,产生的电磁辐射较弱,如何进行有效检测?
由于录音器的原始电磁辐射信号较弱,难以检测,作者采用折叠算法提高接受信号的信噪比。该算法对已知频谱搜索具有周期T的信号,然后将频谱按照时间窗口T划分,并将所有小段折叠在一起。当T等于信号的周期时,折叠后信号的能量将增强,而噪声由于其随机性而被平衡掉。为了更好地加强信噪比,作者改进了该算法,对每小段的波峰进行相位对齐,首先找到该段的峰值,然后根据偏差平移频谱,使峰值位于同一位置,最大化加强信号。在本文场景中,时间窗口T应等于录音器的ADC时钟频率,如下图所示,作者在不同距离下对某录音器测量了算法的有效性,折叠后的EMR信号的信噪比大大增强。
DeHiREC
基于以上原理,作者提出了DeHiREC,下图为系统的总体架构。
主要分为两个阶段,第一阶段确定是否存在可疑的EMR信号。DeHiRE捕获并处理环境中的射频信号,筛选出符合录音器频谱特征的信号;计算信号峰值间隔,是否与录音器中ADC模块的时钟频率匹配;将匹配的EMR标记为可疑信号,进入第二阶段。
第二阶段对可疑信号进行刺激和验证。观察定制的EMI信号是否会引起EMR强度增加。由于EMR信号微弱,需要使用自适应折叠算法加强信号强度。为了量化EMR强度的变化,作者定义了ξ_inject来表示EMR催化下的信噪比。如果EMR信号强度变化大于临界值η,则判定为录音器。
DeHiREC 性能评估
探测距离
作者设计了一个实验,在环境中播放一段语音视频,采用前文提到的13种录音器,对每台录音机在1厘米到50厘米、步长5厘米的每个距离上进行100次检测。
下图为信噪比(SNR)和系统正确检测到阳性样本到概率(TPR)随距离的变化。
对13台录音机的探测距离均超过15厘米,最大可达55厘米。
环境噪声对检测性能的影响
作者模拟了两种环境,咖啡厅和会议室,通过6个音量级别的扬声器播放轻音乐和讲座。录音器与天线的距离为10cm,每台录音器在每种情况下测试10次。
下图分别为咖啡厅、会议室中信噪比(SNR)和系统正确检测到阳性样本到概率(TPR)随音量的变化。蓝色圆点线表示DeHiREC的第一阶段的实测信噪比,蓝直线表示第二阶段的实测信噪比。噪声背景可使第一阶段的电磁干扰强度略有增加,但也可使第二阶段的电磁干扰响应略有降低。总的来说,该系统的精度几乎不受噪声环境的音量大小的影响。
总结
本文首次尝试在会议室等特定环境中探测隐藏的录音器。主要贡献有三方面:(1)作者发现了由嵌入在MSoC中的ADC产生的电磁辐射特征,将其用于检测隐藏录音器;(2)提出了电磁辐射催化方法,通过加入电磁干扰,观测ADC的电磁辐射的变化特征,来区分录音器和类似频谱的其他设备;(3)设计了第一个概念验证系统DeHiREC,该系统采用了自适应折叠算法,可以根据微弱的EMR信号检测录音器。最后通过实验评估了系统的性能,系统在特定场景下表现良好。文中的方法对其他类似的无线隐藏设备的检测具有指导意义。
供稿:张聪聪
审稿:肖浩宇、邬梦莹、洪赓
排版:边顾
戳“阅读原文”即可查看论文原文哦~
复旦白泽战队
一个有情怀的安全团队
还没有关注复旦白泽战队?
公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~
如有侵权请联系:admin#unsafe.sh