气隙隔离 (Air-Gapped) 网络被视为敏感数据的最后防线 —— 物理断网、无无线接口、严格的外设管控。然而,当攻击者将视线转向每台计算机都具备的音频子系统时,这道防线便出现了意想不到的突破口。利用主板内置蜂鸣器产生人耳难以察觉的近超声波信号,攻击者能够在不连接任何外部设备的情况下,将机密数据以声波形式渗出至邻近的接收装置。
换能器物理特性与频段选择
传统隐蔽信道研究多依赖外置扬声器,但高安全环境通常禁止此类设备。主板内置蜂鸣器 (Internal Speaker) 作为系统启动自检的标准组件,反而成为被忽视的潜在攻击面。在 Linux 系统中,攻击者可通过ioctl系统调用配合KIOCSOUND请求直接控制蜂鸣器振动频率,时钟基准频率为 1,193,180 Hz,通过计算分频系数即可精确输出目标频率。
频段选择需平衡隐蔽性与设备兼容性。人耳听觉上限约为 20 kHz,成年人对 17-20 kHz 频段的敏感度显著下降,因此该范围成为理想的 "近超声" 工作区。实验表明,18 kHz 与 19 kHz 的组合既能避开人耳感知,又能被主流智能手机麦克风可靠捕获 —— 这是实现无接触数据接收的关键前提。
FSK 调制与帧结构设计
由于主板蜂鸣器无法调节振幅,幅度调制 (AM) 方案被排除,频移键控 (FSK) 成为唯一可行的调制方式。实测数据显示,蜂鸣器输出存在约 300 Hz 的频率漂移,因此高低频的频差需设定为 600 Hz 以上以确保可靠区分。典型配置采用 18 kHz 代表逻辑 "0"(或摩斯码的 "点"),19 kHz 代表逻辑 "1"(或摩斯码的 "划")。
数据编码层面,系统支持两种模式:摩斯码适用于短文本传输,二进制码则支持文件与密钥等任意数据。二进制帧结构包含四个要素:以 17 kHz 发送的起始位 (长度 50 ms)、有效数据位 (18/19 kHz)、偶校验位 (用于完整性验证),以及以 17 kHz 发送的结束位 (长度 100 ms,为起始位的两倍以便识别)。
接收端解码流程实现自动化:智能手机以 20 kHz 采样率录制音频,每 25 ms 提取一次频谱特征,根据预设阈值 (±300 Hz 容差) 将频率序列还原为比特流,最终通过校验位验证数据完整性。
距离 - 速率 - 误码率的工程权衡
该隐蔽信道的核心性能指标呈现明显的三角制约关系。实验数据显示,当每比特时长设定为 100 ms 时,在 1.5 米距离内可实现零误码传输;将比特时长压缩至 50 ms,传输速率提升至 20 bits/s,但有效距离缩短且误码率上升。
距离衰减遵循声学传播规律:接收设备紧贴机箱 (约 20 cm) 时,即使 50 ms 比特时长也能稳定解码;距离增至 1.5 米时,需将比特时长扩展至 100 ms 以维持可靠性。这一特性决定了攻击场景的空间约束 —— 接收设备必须部署在目标计算机的声学 "近场" 范围内。
值得注意的是,该信道存在固有的并行化瓶颈。与电磁或光学隐蔽信道不同,主板蜂鸣器无法同时产生多个独立频率,后写入的频率指令会覆盖前者,这意味着无法通过多频带复用提升吞吐量。
防御策略与检测要点
针对此类声学隐蔽信道,防御需从物理层到策略层构建多层屏障。最直接有效的措施是物理移除主板蜂鸣器,或仅在必要时选择性安装。对于无法移除的场景,可部署超声频段异常活动监测设备,识别 17-20 kHz 范围内的非预期信号发射。
在软件层面,可通过内核模块限制对蜂鸣器控制接口的访问,或监控KIOCSOUND等敏感系统调用的调用模式。此外,高安全环境应考虑声学隔离措施 —— 虽然完全隔音难以实现,但增加距离衰减可显著降低攻击成功率。
结语
超声波换能器隐蔽信道揭示了 "最小化攻击面" 原则在物理层的执行盲区。主板蜂鸣器作为被忽视的遗留组件,在特定威胁模型下转化为数据渗出的有效媒介。理解其技术边界 ——20 bits/s 的速率上限、1.5 米的有效距离、单频道的串行特性 —— 有助于安全团队评估真实风险并配置针对性的监测与缓解措施。
资料来源
- CASPER: Covert Channel Using Internal Speakers (PMC10054247)
- MOSQUITO: Covert Ultrasonic Transmissions Between Two Air-Gapped Computers
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。