EM Eye：嵌入式相机中的电磁侧信道窃听

EM Eye（电磁眼）研究了一种攻击者通过解析摄像头电路产生的意外电磁泄漏信号来窃取摄像头的机密视频数据的网络安全攻击。由于这种漏洞发生在摄像头系统的物理/模拟层，攻击者可以绕过摄像头设备软件层面的保护（例如，无法破解的密码）窃取受害者摄像头数据。利用窃听到的视频，攻击者可以监视各种关键隐私信息，例如受害者房间里的摄像头记录到的受害者本身的各种活动等。 请观看下面的演示视频。

研究脉络。 EM Eye 首次系统研究了嵌入式摄像头和图像传感器数据传输中的内容级电磁侧信道窃听问题。该工作展示了确定性、未加保护的传感器数据传输可能产生可重建的电磁泄漏，从而为传感器电磁（EM）侧信道泄漏这一更广泛的研究方向奠定了基础。后续及密切相关工作已经将类似问题扩展到虹膜、掌纹、掌静脉和其他生物特征传感器。

EM Eye 研究论文已发表于 Network and Distributed System Security Symposium (NDSS) 2024。论文、官方页面和开源复现资源如下。

EM Eye 首次系统研究了嵌入式摄像头和图像传感器数据传输中的内容级电磁侧信道窃听问题。通过展示确定性、未加保护的传感器数据传输可能产生可重建的电磁泄漏，EM Eye 为传感器电磁（EM）侧信道泄漏这一更广泛的研究方向奠定了基础。

我们维护一个持续更新的英文研究脉络页面，用于整理后续及密切相关工作，并尽量清晰、准确地说明该方向如何扩展到虹膜、掌纹、掌静脉和其他生物特征传感器。

查看完整研究脉络页面。

摄像头的图像传感器以完全确定的方式向下游处理器（如GPU和CPU）传输未受保护的原始图像数据。当图像数据以比特编码方式传输的时候，0-1比特的交替翻转引起摄像头电路周围与图像内容相关的电磁信号；并且，连接图像传感器和处理器的数据传输电缆无意地成为无线电天线将这些电磁信号发送给攻击者。攻击者可以使用无线电天线接收摄像头泄漏出来的电磁信号并使用算法进行解析，最终重建恢复出摄像头拍摄的画面内容。具体过程如下图所示。重建画面质量还可以通过基于深度学习的信号处理方法进一步提升。EM Eye 的分析侧重于热门嵌入式摄像头数据传输接口的例子：MIPI CSI-2。其他类似的接口也可能受到影响。

消费电子产品： 非详尽地，我们对12种不同型号的智能手机摄像头、行车记录仪和家用摄像头进行了测试。结果表明，本研究发现的漏洞广泛存在于现有的商用摄像头设备中。信息泄漏的严重程度取决于每个相机设备的多个参数，例如，传输电缆/模拟电路的大小，摄像头是否有电磁屏蔽等。

物联网开发平台：几乎所有现存的物联网开发平台连接的摄像头都可以被EM Eye攻击。我们的实验成功窃取了Nvidia Jetson, and Asus Tinkerboard, Raspberry Pi (树莓派) 的摄像头数据。

窃听攻击场景案例: 使用商用窃听装置,攻击者可以在距离智能手机摄像头30厘米远以及距离行车记录仪/智能家居/物联网开发摄像头数米远的地方实时窃听拍摄画面。。我们研究了以下几种可能的攻击场景：

• 手机摄像头窃听：天线和电磁信号接收器可以安装在修改过的充电宝中。这些充电宝可以会在供应链内被篡改，或者由购物中心常见的共享充电宝租赁提供。
• 行车记录仪偷窥：当受害者在停车时保持汽车内部的行车记录仪开启，攻击者可以利用电磁眼窃听来从附近偷窥汽车内部情况。
• 房间摄像头穿墙窥探：攻击者通过物联网家庭安全摄像头的电磁辐射来窥探私人住宅或办公室房间。这种安全摄像头一般会靠近房间的墙壁、窗户和门安装。这可以允许攻击者从仅几米远的地方接收摄像头的电磁辐射。

下面是我们用于窃听摄像头的设备清单：
(1) 软件定义无线电: Ettus USRP B210 USRP（$2100）。
(2) 低噪放大器: 福赛特智能 FSTRFAMP06（$200）。
(3) 定向天线: 常见的室外对数周期定向天线（$15）。
(4) 笔记本电脑。
注意这些设备均可以用更便宜的设备进行代替。例如，USRP B210可以被$30的RTL-SDR代替。

欢迎感兴趣的研究者使用我们开源GitHub代码库复现攻击。 我们在GitHub仓库中提供用于复现和理解攻击的代码和说明，以及本研究披露的受影响设备的攻击参数。为了让研究者更好地复现攻击，我们还准备了一个现成的软件工具，研究者在可以使用软件定义无线电设备采集摄像头辐射的电磁信号对摄像头画面进行实时窃听。