“TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态”

2475本作品采用知识共享署名国际4.0许可协议进行许可。TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态sramesh@comp.nus.edu.sg新加坡国立大学新加坡ghadi@comp.nus.edu.sg新加坡国立大学新加坡ddyshsh@yonsei.ac.kr韩国延世大学摘要Mun ChoonChanchanmc@comp.nus.edu.sg新加坡国立大学junhan@cyphy-lab.org韩国延世大学1引言我们正在目睹对笔记本电脑的远程隐私攻击激增这些攻击通常利用恶意软件远程访问网络摄像头和麦克风，以监视受害用户。虽然网络摄像头攻击在某种程度上可以通过广泛使用的商业网络摄像头隐私保护进行辩护，但不幸的是，尽管最近业界做出了努力，但仍然没有足够的解决方案来阻止对网络摄像头的攻击。作为防御笔记本电脑上的这种攻击的第一步，我们提出了TickTock，一种新颖的麦克风开/关状态检测系统。 为了实现这一点，TickTock从外部探测来自携带麦克风时钟信号的笔记本电脑电路的连接器和电缆的电磁（EM）辐射。这是可能的，因为麦克风时钟信号仅在麦克风录音状态期间输入，从而导致产生发射。 我们设计并实现了一个概念验证系统来验证TickTock的可行性。此外，我们全面评估了TickTock在总共30台流行的笔记本电脑上执行的各种应用程序，成功地检测了27台笔记本电脑的麦克风状态。其中，TickTock始终以高真阳性和阴性率识别麦克风录音。CCS概念• 硬件→传感器和执行器;·安全和隐私→旁道分析及对策。关键词电磁侧信道，音频隐私，语音隐私，基于侧信道的防御，传感器使用检测ACM参考格式：SoundaryaRamesh ， Ghozali Suhariyanto Hadi ， Sihun Yang ， MunChoonChan，and Jun Han. 2022. TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态。 在2022年ACM SIGSAC计算机和通信安全会议（CCS '22）的会议记录中，2022年11月7日至11日，美国加利福尼亚州洛杉矶。ACM，纽约州纽约市，美国，15页。https://doi.org/10.1145/3548606.3560698CCS©2022版权归所有者/作者所有。ACM ISBN978-1-4503-9450-5/22/11。https://doi.org/10.1145/3548606.3560698对现代笔记本电脑的远程隐私攻击继续造成重大的社会问题。例如，远程攻击者注入恶意软件以访问网络摄像头，通过禁用网络摄像头的指示灯LED来暗中监视受害者[ 3，11，44，55 ]。 为了防御此类攻击，用户通常放置商业上可用的网络摄像头隐私保护罩来物理地阻挡网络摄像头[46，55]。使问题更加严重的是，还有报告称，有人会对笔记本电脑麦克风进行间谍攻击，包括零日漏洞和跟踪者安装的恶意软件，这些恶意软件会偷偷窃听受害者的笔记本电脑[ 9，35，45，59 ]。此外，直到最近，流行的视频通话应用程序（如Zoom）中已经发现了错误，即使在会议结束后，它也可以在Mac OS上捕获音频[52]。与网络摄像头不同，目前还没有足够的解决方案来防御基于麦克风的窃听。为了抵御此类攻击，Purism等公司正在推出新的笔记本电脑设计，其中包含用于USB的硬件终止开关，可以在不使用时切断USB的电源[48，49]。苹果为MacBook 2019及后续型号设计了硬件断开功能，每当盖子关闭时都会禁用麦克风[56]。 戴尔已更新了新设备上的驱动程序，以便在操作系统级别禁用Windows XP[64]。此外，Windows 10和Mac OS 12等几个操作系统在麦克风使用期间在屏幕上提供指示符，以提高用户意识[16，17]。虽然这些努力是有希望的第一步，但它们都存在重大缺陷。首先，这些解决方案要求用户信任笔记本电脑制造商或操作系统的实现，这两者在过去都曾多次被攻击者破坏[3，15，66]，或者制造商本身可能是恶意的。其次，这些解决方案仅包含在一小部分设备中，因此大多数当前的笔记本电脑没有检测/防止窃听的方法。上述缺点导致我们以下的研究问题：我们能否设计一种新的基于麦克风的窃听攻击检测系统，（1）是强大的远程攻击者的鲁棒性，（2）适用于现有的笔记本电脑没有任何修改，（3）地方有限的信任设备制造商？为此，我们提出了TickTock，它利用了商品笔记本电脑中配备的数字MEMS微处理器的现象，当打开时（即，在记录时）发出电磁（EM）信号。这种变形源于承载时钟的电缆和连接器CCSSoundarya Ramesh，Ghozali Suhariyanto Hadi，Sihun Yang，Mun Choon Chan，JunHan2476当前原型理想形状因子近场探头放大器RPiSDR图1：该图描绘了一种场景，其中用户将滴答装置（其配备电磁（EM）探头）放置在他/她的笔记本电脑附近，以便检测可能的基于麦克风的窃听攻击，即通过确定其麦克风是打开还是关闭。TickTock能够根据输入到笔记本电脑电路中的麦克风的时钟信号的EM发射的存在/不存在来这样做信号传输到麦克风硬件，最终操作其模数转换器（ADC）（见第4.1节）。 TickTock捕获这种泄漏，以识别笔记本电脑麦克风的开/关状态。图1描述了利用TickTock的过程。用户将TickTock设备（由小型EM探头组成）定位在笔记本电脑外壳上当麦克风开始录音时，TickTock检测到时钟信号并提醒用户（例如，LED灯亮起）。 我们设想TickTock具有类似于USB驱动器的外形（图1），可以粘附到笔记本电脑的外部以检测麦克风开/关状态。然而，TickTock目前的全功能原型具有桌面形状因子（图2），但我们看到了进一步扩展的机会（见第8节）。设计TickTock面临三个重大挑战。首先，麦克风时钟信号的频率是未知的，因为它的值在不同的设备之间变化（通常在512 kHz到4.8 MHz之间），特别是取决于音频编解码器芯片。其次，由于麦克风时钟信号导致的EM信号的最大泄漏位置也是未知的，因为它取决于泄漏电缆和连接器的底层位置。第三，由于捕获的EM信号通常包括来自相邻信号线的噪声，因此我们需要设计一种鲁棒的机制来防止错误的预测。为了克服上述挑战，TickTock使用每个器件模型的一次性自举过程来推断麦克风时钟频率（ mic）以及最大泄漏位置（ mic）。为了解决在存在噪声的情况下对时钟信号进行鲁棒检测的第三个挑战，TickTock利用基波时钟频率以及作为基波频率的倍数的谐波来提高检测精度。TickTock有几个优点。首先，具有软件功能的对手无法逃避我们的检测，因为TickTock的方法依赖于麦克风硬件造成的EM泄漏，因此可以抵御强大的远程攻击者。其次，由于TickTock我们在总共30台笔记本电脑上评估了TickTock，收集了超过10个小时的EM信号，以证明TickTock可以检测到我们测试的大多数笔记本电脑品牌的麦克风活动，包括联想，图2：图中描绘了Tick- Tock的全功能原型，由堆叠在笔记本电脑侧面的不同组件组成然而，如左图所示，我们设想TickTock具有类似于小型USB驱动器的外形，可以与笔记本电脑的外壳接触戴尔、惠普和华硕。我们全面评估了TickTockZoom、Audacity）、基于非麦克风的应用程序（例如，Google News、YouTube）以及不同的音频驱动器实现（例如，Ubuntu与Windows）。此外，我们还评估了它的实时性能，以及它对EM噪声的鲁棒性。根据我们的分析，TickTock成功识别了30台测试笔记本电脑中27台的麦克风时钟频率 在27台笔记本电脑中，TickTock始终以高真阳性和阴性率预测MIC活动。2系统和威胁模型我们提出了TickTock的系统和威胁模型。系统模型TickTock的目标是识别麦克风录音状态（即，开/关）在受害者拥有的设备中，例如他/她的笔记本电脑。我们将麦克风定义为录音（即，麦克风开启），每当它捕获物理声学信号并将它们转换成数字信号时。因此，我们不区分来自麦克风的数字信号被保存到存储器的情况与来自麦克风的数字信号被保存到存储器的情况。当它们被丢弃时，并将其视为记录。TickTock被限制为仅捕获来自设备上的紧密接触的EM泄漏（例如，从膝上型计算机的外壳因此，我们不考虑间谍设备中的麦克风状态检测（例如，隐藏在房间里的音频错误此外，TickTock被限制为仅检测具有数字麦克风的设备中的麦克风状态（即，需要时钟信号来进行操作的微控制器威胁模型。在设计TickTock时，我们考虑具有以下目标和能力的攻击者。攻击者的目标是从受害者笔记本攻击者的能力包括使用不受约束的软件能力发起远程攻击。具体来说，我们认为强大的攻击者可能控制恶意或受损的应用程序，并能够利用内核漏洞修改音频驱动程序。但是，我们假设攻击者没有物理访问笔记本电脑，并且无法修改硬件（例如，在笔记本电脑中嵌入一个独立的音频窃听器3TICKTOCK使用场景本节介绍TickTock的潜在使用场景。时钟信号检测到电磁信号 ？麦克风打开“OTP”TickTock探测EM信号TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态CCS2477−≈× × ×（一）（b）第（1）款图3：引导场景联想随后在笔记本电脑上贴上了泄漏位置的标签���麦克风，和一个附带的滴答装置设置为检测麦克风时钟频率，���麦克风。（b）描绘了一个众包场景，其中用户将���麦克风连同麦克风的图像���一起上传到滴答的公共服务器。（c）描绘了用户在本地执行自举的情形(d)描绘了一个部署场景，其中用户通过将TickTock设备放置在贴纸的位置并通过将TickTock设备设置为检测���麦克风来部署TickTock以检测麦克风开/关状态。引导场景。 TickTock需要一个一次性的自举ping阶段，以推断每个器件型号的麦克风时钟频率、 麦克风和最大EM泄漏位置。 我们提出了三个sce-narios，我们设想不同的实体执行自举。(1) 由制造商引导笔记本电脑制造商，例如，联想可以为他们的产品执行引导阶段随后，如图3（a）所示，他们为每台笔记本电脑运送���-（a）附带的滴答装置，设置为检测麦克风（例如， 2MHz），以及（b）放置在膝上型计算机上的贴纸（例如，在右上角），以标记martemic。���(2) 众包引导。众包方法（见图-图3（b））是普通用户在一个/多个设备 上进行自举，并将检测到的自举和自举上传到TickTock 当用户部署TickTock时，可以使用此信息。(3) 用户级Bootstrapping。 TickTock的引导由打算在他/她的笔记本电脑上使用TickTock的用户进行（图3（c））。部署场景。 为了使用TickTock（图3（d）），用户利用自举信息，并���在Tick-Tock设备上设置mic。随后，用户将TickTock设备放置在图4：图（a）描述了数字MEMS麦克风的功能，该麦克风将时钟信号作为输入，以消除电信号，图（b）描述了麦克风打开与关闭时麦克风时钟频率的差异。承载麦克风数据线可能靠近电磁干扰，如笔记本电脑数字万用表对模拟信号进行采样，以离散、高幅度信号的形式输出数据，在两个极端电压电平之间交替-分别表示0和1。 如图4（a）所示，数字麦克风在麦克风外壳内包含一个模数转换器（ADC），ADC的操作由输入时钟信号驱动。此外，这些ADC支持从约512 kHz到4.8MHz的宽工作时钟频率范围[23，25]。时钟信号在麦克风中的作用在数字MEMS MEMS MEMS中，时钟信号用作控制信号，可以在几种电源模式之间切换麦克风。如图4（b）所示，当麦克风提供频率范围约为14的时钟信号时。8 MHz时，它进入活动模式，消耗约0.5 mA电流，因此能够捕获音频[26- 28 ]。另一方面，当麦克风提供频率低于250 kHz的时钟信号时，麦克风进入睡眠模式1以降低功耗（40 kHz）[19]。在这项工作中，我们确定了当麦克风处于活动模式（即，麦克风打开），并且当处于睡眠模式时（即，麦克风关闭），以推断麦克风4.2 时钟信号及其检测在时域中表示为电压的时钟信号（图5（a））是具有固定时间周期的周期性方波（由麦克风，使TickTock能够作为麦克风开/关状态指示器。4背景我们提供了时钟信号在确定麦克风状态中的作用的背景，为什么它们泄漏，以及如何检测它们的泄漏4.1数字MEMS麦克风笔记本电脑通常包含微机电系统（MEMS），这主要是由于其紧凑的外形和更好的噪声性能[4，14]。 在它们之中，数字MEMSMEMS MEMS是优选的替代方案，其不受电磁干扰（EMI）的影响。这是因为在笔记本电脑中，长电缆或PCB走线T），并且具有基频，即，当在时域中观察到电流时（图5（b）），时钟信号被视为一系列脉冲，因为电流仅在电压变化期间流动。然而，该信号具有相同的时间周期T和基频ω。由于它们的周期性，以及短的上升时间，在电压电平之间的转变（亚微秒），时钟信号将其能量集中在基本时钟频率，即基波，以及其奇次谐波（即， 三，五，七，. . ）（见图5（c）和5（d））。此外，如果时钟信号在时钟周期中花费不相等的时间1某些ASIC还支持低功耗模式，时钟频率为512 kHz至1 MHz，适用于语音应用中的唤醒字检测（一）联想奥特莱斯（b）第（1）款（c）第（1）款……2 MHz（d）其他事项滴答服务器2 MHz3 MHz笔记本电脑发货量与TickTock一起2 MHz识别麦克风时钟频率2 MHz标签标记泄漏位置VDD数字MEMS麦克放大器ADCCLK数据音频编解GND换能器麦克风打开频率：1 - 4.8麦克风关闭频率：250 kHzCLK CLK数据DATA无效………CCSSoundarya Ramesh，Ghozali Suhariyanto Hadi，Sihun Yang，Mun Choon Chan，JunHan2478幅度（dB）（+）21感应电压感应电流磁电动现场探头现场探头时钟线时钟线idΦE/dtV/dt2.01.51.00.50.001 2 34210-1-25 0123 4 54.3时钟信号泄漏的因素如图7所示，我们确定了三个潜在因素，即– (a) connectors, (b) cables, and (c) common grounding, thatlead 对于每一个因素，我们都从理论上解释了它们时间（微秒）时间（微秒）笔记本电脑中由于该因素而泄漏的确切泄漏位置(a)（b）第（1）款404030302020101000讨论（第二部分）。随后，我们从笔记本电脑的外部捕获EM迹线（部分（iii）），以最终获得包含麦克风时钟信号的EM泄漏频谱（部分（iv））。为了捕获泄漏的EM信号，我们将近场探头放置在泄漏位置，并使用第5.1节中描述的设置。我们05 10 1520频率（MHz）（c）05 10 1520频率（MHz）（d）现在在下面详细解释每个泄漏因子4.3.1泄漏（a）-连接器。 阻抗不匹配，图5：图中描绘了时钟信号在时域中的理想表示，即（a）电压和（b）电流趋势;在频域中的理想表示，即（c）电压和（d）电流趋势。(a)（b）第（1）款图6：图示了（a）磁场（H场）探头和（b）电场（E场）探头的工作情况高和低电压状态（即，如果时钟占空比偏离50%），则辐射信号将另外包括偶次谐波，即，基本时钟频率的2倍、4倍、6倍等。������������4.2.1检测时钟信号。我们利用近场探针，即磁场（或H场）和电场（或E场）探针，分别捕获由于时钟信号引起的磁场和电场的变化。电磁（EM）信号在近场（即，泄漏信号频率的大约一个波长内的区域）与远场（超过一个波长的区域）相比在近场中，电场和磁场独立存在，其中一个可以支配另一个，这取决于时钟信号泄漏的来源。在远场中，两个场耦合在一起以形成EM场。由于EM信号在到达远场之前显著衰减，特别是对于较低频率（MHz），我们在近场执行检测。探针工作原理的简化视图如图6所示。磁场探头输出的电压与穿过线圈的磁通量的变化率成比例（图6（a）），而电场探头的感应电流与探头尖端导体所经历的电场变化成比例（图6（b））。特别地，对于磁场探头，环尺寸决定了其对弱EM信号的灵敏度，其中具有较大半径的环更灵敏。Nectors是EM散发的主要贡献者 如图7（a）-（i）所示，当两个相邻元件的阻抗值，例如，当连接器（ EMConn）和承载时钟信号的电缆（ EMCable）不匹配时，部分传输信号可能被反射并作为EM信号发射。反射量或反射比可以近似为：（ 2− 1），其中 1和 2分别指源元件和接收元件的阻抗。 该反射率与EM发射量成正比。当电路设计者没有考虑到在承载高频信号时可能在电缆上产生的附加阻抗时，会发生这种EM发射问题为了证实这一理论，我们对戴尔进行了拆解Latitude E5570笔记本电脑，连接器靠近麦克风。 如图7（a）-（ii）所示，我们确定了麦克风右侧的连接器位置。此外，通过在笔记本电脑的外部（图7（a）-（iii））相同位置放置电场探头，我们获得了具有时钟频率（2.048 MHz）及其谐波的EM频谱，如图7（a）-（iv）所示，确认连接器确实导致EM泄漏。4.3.2泄漏（b）-电缆。 如图7（b）-（i）所示，电缆和PCB迹线中的急转弯改变了电缆的阻抗特性，这是由于内部（即，���内侧）和外侧（即，���外部）的PCB走线和电缆。因此，这些未计算的阻抗变化导致电缆两侧之间的阻抗失配（例如， ������如图所示，左下），导致EM发射。我们通过拆卸Fujitsu Lifebook2（麦克风电缆沿笔记本电脑左上角弯曲）来确认泄漏源（图7（b）-（ii））。我们通过将近场探头放置在笔记本电脑外部相同位置来识别时钟频率及其谐波（图7（b）-（iii），（iv））。与电缆弯曲类似，使用柔性PCB（或柔性电缆）将麦克风板连接到音频编解码器，由于其柔性性质，可能导致EM信号泄漏。 虽然增加接地铜层可以保护柔性PCB免受泄漏，但这种额外的增加会使PCB变硬，从而破坏其实用性[67]。4.3.3漏电（c）-公共接地。 由于时钟信号具有高电流转换速率（即，高峰值/峰值），麦克风接地电流尖峰2请注意，我们使用不同的笔记本电脑来证明可能在不同笔记本电脑中占主导地位的不同泄漏因素。幅度（dB）电压电平（V）电流电平（mA）TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态CCS2479麦克风连接器Mic 顶部挡板（一）连接器L外（b）Z向左EM信号Z轴顶部挡板左侧下来带时钟信号的电缆麦克风周边WLAN天线（c）共同接地地面电磁信号电缆w/电流时钟信号 尖峰顶部挡板L内电缆弯曲51015202530频率（MHz）带时钟信号的电缆电缆Z轴EM信号Z连接器麦克风板康涅狄2.048 MHz和奇次谐波2.048 MHz和奇次谐波2.048 MHz和奇次谐波（i）泄漏原因（ii）泄漏位置（内部）（iii）泄漏位置（外部） （iv）电磁泄漏频谱(i)㈡ ㈢㈣图7：该图描述了泄漏原因、泄漏位置（内部和外部）以及由于三种不同的泄漏因素（即（a）连接器、（b）电缆和（c）公共接地）而捕获的EM泄漏信号（麦克风打开）线导致共享接地的其他外设中的类似尖峰（图7（c）-（i））[18，43]。因此，这导致在远离麦克风时钟线的位置处的麦克风时钟频率的EM发射。特别是，我们在Dell Latitude E5570笔记本电脑边框右上角的WLAN天线位置观察到这种现象，如图7（c）-（ii）所示5可行性研究通过初步实验，我们证明了麦克风时钟泄漏信号作为麦克风状态代理的可行性5.1可行性设置我们的设置（图2）包括笔记本电脑），近场探头（E场/H场），用于捕获EM泄漏信号，连接到27 dB宽带RF低噪声放大器（输入电压为10 V DC）以放大弱EM信号，该放大器又连接到SDRPlay RSP-1A软件定义无线电（SDR），用于捕获和数字化感兴趣频率范围内的 信 号 ， 最 后 是 RPi 4 B ， 执 行 GNU RadioCompanion软件，执行信号处理[1，2，10，13，37]。5.2时钟信号作为麦克风状态指示器为了验证时钟泄漏信号是否可以作为麦克风状态指示器，我们在Dell Latitude E5570笔记本电脑上进行了实验。我们将近场探头（特别是E场）放置在最大泄漏的位置，即， 靠近此笔记本电脑的连接器（来自第4.3.1节）。 如图8所示，麦克风时钟频率，即， 2.048 MHz和奇次谐波仅在麦克风开启时存在（图8（a）），否则不存在（图8（b））。 该初步实验表明，时钟信号的存在/不存在可以分别用作指示麦克风的开/关状态的代理。在以下部分中，我们将详细介绍如何识别麦克风时钟频率和泄漏位置，以及如何执行全面的实验来测试TickTock的鲁棒性。(a)（b）第（1）款图8：图8描绘了当在Audacity应用程序上录制），以及（b）当麦克风关闭时。时钟频率（2.048 MHz）和谐波仅在麦克风打开时存在，因此表明使用EM信号检测麦克风开/关状态的可行性。6设计与实现我们现在介绍TickTock的设计和实现。6.1设计概述TickTock利用来自泄漏EM信号的麦克风时钟信号，以用作麦克风开/关状态指示器。回想一下第3节，TickTock自举是一个一次性的阶段，在此阶段，我们可以确定某个器件型号的麦克风时钟频率，以及麦克风时钟���在部署阶段中，具有相同设备型号������的用户利用所识别的频率（麦克风）和位置（麦克风）来预测他/她的设备的麦克风状态51015202530频率（MHz）51015202530频率（MHz）幅度（dB）幅度（dB）幅度（dB）幅度（dB）幅度（dB）当麦克风打开时近场探头当麦克风关闭时近场探头2.048 MHz和奇次谐波0 1530频率（MHz）0 15 30频率（MHz）CCSSoundarya Ramesh，Ghozali Suhariyanto Hadi，Sihun Yang，Mun Choon Chan，JunHan2480≈[−/+ /]--引导阶段§6.3麦克风时钟频率ID（fmic）扫描（a）：当麦克风打开时频率检测扫描（b）：当麦克风关闭时近场探头EM信号§6.2 Clk频率近场探头EM信号§6.2 Clk时钟§6.3.1频率聚集（频率，计数）元组§6.3.2频率w/最大发生次数IDf麦克风时钟§6.3.1频率聚集 （频率，计数）元组§6.4最大泄漏位置ID（lmic）扫描（c）：当麦克风打开时近场探针ClkEM信号 §6.2时钟频率，谐波数f麦克风§6.4.1泄漏评分补偿（位置，分数）元组§6.4.2位置w/最大分数IDl麦克风Freq位置检测 *（一）部署阶段l麦克风近场探头没麦克风关EM信号§6.2时钟频率检测时钟频{Clk Freq}=fmicMic isON？是(b) （b）第（1）款图9：该图描述了TickTock的系统概述。(a) 示出了自举阶段，其中（1）我们将麦克风时钟频率识别为仅在麦克风接通时出现的时钟频率中具有最大出现次数（或计数）的频率;（2）我们将最大泄漏位置识别为麦克风时钟信号引起的泄漏分数最大的位置。（b）描述部署阶段，其中用户将探针放置在自举期间识别的麦克风处，以基于其麦克风的存在/不存在来检测设备的麦克风开/关状态。在自举过程中（图9（a）），我们���通过在麦克风附近的区域（例如，笔记本电脑的顶部挡板）与近场探头-一次是在麦克风打开时，第二次是在麦克风关闭时。扫描包括探测区域中的多个位置（例如，麦克风附近）并在多个时间段内观察每个位置处的EM信号在扫描之后，我们将麦克风识别���为当麦克风打开时仅在EM信号中唯一发生的频率，并且与所有其他唯一频率相比具有最大发生率。随后，为了识别最大泄漏位置���mic，我们通过确定具有最大泄漏分数的位置来执行第三扫描（扫描（c）），我们基于对所识别的���mic及其谐波的检测来计算最大泄漏分数。在部署阶段（图9（b）），用户将附近的现场探头在位置， 麦克风，在引导过程中确定，麦克风状态检测。只有当来自EM信号的检测到的时钟频率的集合（即，图9中时钟频率检测模块的输出），包含正好一个等于麦克风时钟频率的频率， 因此，TickTock预测即使当 麦克风与其他杂散频率一起被检测到时，麦克风也是关闭的，以最小化错误频率。预测。然而，TickTock容忍一些误差容限（即，��������������������� = 10 kHz）���，同时预测麦克风已打开。在下面的小节中，我们将讨论TickTock的三个主要挑战挑战3：最大泄漏位置识别（§6.4）。6.2挑战1：时钟频率检测稳健检测时钟频率的主要挑战之一是来自相邻组件或信号的EM噪声的存在线，导致检测到寄生频率。我们通过检测它们的谐波以及基频来克服这个问题自举和部署阶段都利用该模块来将EM泄漏信号作为输入并输出检测到的时钟频率的集合。图10描述了模块概述。我们从软件定义无线电（SDR）中捕获几个频率跨度的EM信号或轨迹，并计算其频谱（§6.2.1）。随后，我们执行平均偏移去除（§6.2.2），并基于幅度阈值识别其频谱中的峰值（§6.2.3）。 我们利用检测到的峰值，根据检测到的峰值谐波数量来识别一组候选时钟频率（§6.2.4）。最后，我们将候选时钟频率输入到整形级，并消除与其他更可能的候选时钟频率谐波相关的频率（§6.2.5）。6.2.1信号捕获。 为了从SDR捕获EM迹线，我们指定两个参数，即 ���-中心频率（）和带宽（） 。 通过这样做，我们获得了频率范围内的EM轨迹信息， ������2，���������2。然而，由于许多低端SDR支持的最大带宽可能不足以检测麦克风时钟频率及其前几个谐波，因此我们扫描几个（ ���）相邻的频率跨度，以获得具有更大带宽（=������ ）的泄漏信号。随后，我们计算每个跨度的幅度谱（图10（a）），并将所有跨度拼接在一起（这里������= 4），以获得泄漏EM信号的整体频谱。6.2.2平均偏移移除。 我们观察到，由于跨跨度的不同增益值，不同跨度的噪声基底可能不同。 这是在几个SDR中实现自动增益控制功能的结果。 我们执行跨度方向的平均偏移去除，以均衡跨跨度的噪声本底（见图10（b））。6.2.3峰值检测。我们首先获得整个EM迹的幅度谱，我们在频域中计 算 一 组 峰 值 ， 即 F =1 ，2 ，3 ， . . . （ 见 图 10（c））。峰值满足最小振幅截止，并且在频率上至少间隔距离。 幅度阈值因器件而异，具体取决于麦克风时钟信号的泄漏电平。但是，对于两个相位（300 kHz），所有器件的距离参数都是固定的，小于任何麦克风时钟频率下任何两个谐波之间的距离。6.2.4候选时钟频率ID。 给定频率峰值集合F���，我们预测候选时钟频率列表F���及其对应的谐波集合H���。回想§4.2，时钟信号由基频（1x）和谐波（2x，TickTock：利用时钟信号的电磁泄漏检测笔记本电脑中的麦克风状态CCS24813（）下一页图10：时钟频率检测模块的整体设计。(a)描绘了EM信号在四个频率跨度上的积分（即， λ=4），以获得所需的更大带宽信号。（b）示出了为了使噪声流在跨中均衡而执行的均值去除。 （c）描绘了当重新识别频率峰值时的峰值检测（例如，一， 二，三， . . ），aB超过某个幅度阈值，aB。（d）描述了在存在谐波的情况下识别时钟频率（e）描绘了基于共享谐波的时钟频率的修剪。3x等），作为频域中的峰值因此，对于它们的鲁棒识别，我们需要检测最小数量（即，���谐波（包括基频）。通过这样做，我们防止了对伪时钟信号的预测。如果我们假设基频总是被检测为峰值，则这是直接的。我们可以迭代地检查每个频率峰值的似然性，将其作为候选时钟频率。为例如，考虑图10（d-1）中确定的峰，其中我们两个频率（即，例如，1或 2）。图10（e）描绘了情况（1）的1= 2。048MHz， 2 = 6。144 MHz，其中Δ2=3.Δ1。很明显，λ2的谐波是λ1的谐波的子集，因此，我们删除了可能是虚假预测的frequency，fr2。作为情况（2）的示例，我们考虑到以下情况，二、048MHz， 2= 1。024兆赫。所有的谐波频率，也是频率ω2的谐波，ω2=ω1（例如， 3x/1001计算第一个峰值（用k表示）的可能性，是0.2的6x）。我们修剪较小的频率，2就像时钟频率我们观察到它总共有八个谐波（1x，3x，. . . ，15x），���则可以向候选时钟频率集合F���（阈值的默认值，���F = 4）添加e d。然而，如果基频缺失，则上述方法不起作用（参见图10（d-2））。事实上，正如我们在后面的第7.2节中所展示的，超过60%的EM迹线具有缺失的基频。因此，我们检查每个峰值不仅是基频，而且是潜在时钟频率的谐波的可能性例如，对于图10（d-2）中的第一个峰值（用▲表示），我们检查其可能是三次谐波。通过这样做，我们间接地检查丢失的基波（=1）成为候选时钟频率的一般来说，我们检查每个峰值 是第一个“H”谐波（=10）之一的可能性，从而不仅处理丢失基波的情况，而且处理其几个谐波的情况。最后，该模块输出候选时钟频率的集合和它们对应的检测到的谐波的集合H。6.2.5时钟频率修剪。 我们通过利用候选时钟频率的谐波H来修剪候选时钟频率的集合F������，以获得时钟频率的最终集合F及其谐波H。我们识别都属于候选集合F的频率对���1、���2���，使得（1）一个的谐波集合是另一个的真子集（即， H���（���2）≠ H���（���1））;或者（2）谐波集合是相同的（即，H���（���1）= H���（���2））。在这两种情况下，我们消除其中一个潜在的时钟频率，我们期望检测中间谐波（例如， 3.072MHz），���2= 1。024MHz，这不是频率的谐波，���1= 2。048兆赫。最后，在修剪杂散频率之后，我们输出由F表示的保留的时钟频率。可选地，我们还输出检测到的谐波的数量（#H），如§6.4所要求的。6.3挑战2：麦克风时钟频率（ mic）ID作为自举阶段的一部分，我们识别麦克风时钟频率 mic。然而，主要的挑战是，取决于，特别是在时钟频率支持的设备音频硬件，因此不是先验已知的为了避免这个问题，我们���通过将从两次扫描中捕获的EM泄漏信号作为输入来识别麦克风-当麦克风打开时扫描（a），当麦克风关闭时扫描（b）（参见图9（a））。随后，我们分别������������在麦克风周围的不同位置（例如，膝上型计算机虽然扫描是在同一区域上进行的，但轨迹的数量（轨迹线和轨迹线）可以不同。我们将这些轨迹输入到时钟频率检测模块（§6.2），以获得每条轨迹的时钟频率集注意，时钟频率输出的数量可以是零或更多，这取决于捕获EM迹线§6.2.1信号捕获§6.2.2平均偏移删除§6.2.3峰值检测EM信号振幅阈值跨度Span Span span1 2 3 4跨度Span Span span1 2 3 4FFF一123频率（MHz）（一）频率（MHz）（b）第频率（MHz）（c）第§6.2.4候选时钟频率检测基本1x3x5x7x 9x§6.2.5Fre que ncy2.048兆赫（f1）1x3x5x7x9x11x13x 15x频段 缺失3x5x7x9x11x 13x 15x1x组时钟3x...6.144兆赫（f2）频率频率（MHz）（d-1）频率（MHz）（d-2）频率（MHz）（五）平均值（去除平均值后）平均值（去除平均幅度（dB）幅度（dB）幅度（dB）幅度（dB）幅度（dB）幅度（dB）CCSSoundarya Ramesh，Ghozali Suhariyanto Hadi，Sihun Yang，Mun Choon Chan，JunHan2482/≈（一）在该步骤结束时，如果我们未能识别跨不同扫描位置的任何唯一时钟频率（例如， 顶部边框、底部边框等等），我们得出结论，TickTock的技术不适用于这样的设备。6.4挑战3：最大泄漏位置（泄漏）ID该模块是自举阶段的一部分，将EM信号及其位置信息作为输入，以便识别对应于 麦克风时钟频率的最大泄漏位置，最大泄漏确定电磁泄漏位置的主要挑战是其对潜在泄漏源位置的依赖性（例如，连接器和电缆），这又取决于设备的硬件布局。此外，使问题恶化的是，泄漏区域可能是高度局部化的，即，到一个小到几英尺2的区域。为了识别mic，我们执行第三次扫描（Scan（c）），(b)（c）第（1）款麦克风打开，沿着与扫描（a）和（b）相同的扫描区域（图9（a））。我们输入在每个位置捕获的每个EM轨迹，图11：（a）描绘了频率聚合，其中我们com-（loc表示位置ID步骤），时钟频率检测模块（§6.2），并获得一组时钟频率Floc从多个EM迹线获得的时钟频率伊特洛克一组元组（TonToff），由唯一频率及其计数组成。(b)描述了我们如何根据Ton和Toff确定麦克风时钟频率。 （一）说明我们如何通过识别，选择最大泄漏位置，作为每个时钟频率检测到的谐波数量，#H.6.4.1泄漏评分计算。该模块将具有最大泄漏分数的位置。谐波，#例如，H，以及识别的麦克风时钟频率，以输出泄漏评分，即泄漏评分。我们计算泄漏分数，伊特洛克6.3.1频率聚合。 我们现在组合从特定扫描的所有迹线获得的频率，并输出一组元组，其包含存在的唯一频率及其出现次数（即，计数）。特别地，对于Scan（a），我们得到一组元组，Ton，由������������-{（on，on），（on，on），. . . }的情况下，从列表中获得的谐波检测数量，#H。因此，具有较高数量的检测到的频率谐波的位置具有较高的泄漏分数。 然而，如果 没有检测到mic，或者如果除了其他杂散频率之外还检测到mic，则我们输出泄漏分数为零，以指示用于可靠地检测放射性物质的位置。其中，频率，1 1 2 2对，表示不同的频率，而计数，6.4.2具有最大分数标识的位置。本模块表示频率的总出现次数，同样，对于Scan（b），我们获得元组的集合Toff.图11（a）将位置和泄漏得分元组的集合作为输入，即，{（ loc， loc），（ loc， loc），. . . }，输出 麦克风，最大泄漏-用一个有三条电磁轨迹的玩具例子来描述这一点此外，委员会认为，1 1 2 2在单次扫描的元组中，通过将它们各自的计数值相加，我们将彼此在误差容限（10 kHz）内的频率合并为单个频率。6.3.2麦克风频率和最大发生率标识。该模块将从频率聚合模块获得的元组集合Ton和Ton作为输入，以便输出麦克风时钟频率mic。图11（b）描述了我们如何首先识别在集合Ton中唯一出现的频率（因此在集合Toff中不存在）。随后，我们选择在所有唯一频率中具有最大计数值的频率（在具有多个唯一频率的情况下）。我们还确定了平均泄漏幅度，对于MIC，通过计算MIC时钟信号的平均幅度���（即， 时钟频率和谐波）���。器件之间的平均泄漏幅度不同，因此在所有后续级的时钟频率检测模块中，将其用作成功检测麦克风的阈值（ ���）���（参见§6.2.3）。年龄评分，作为探头放置的最佳位置在TickTock的当前实现中，手动执行该模块，其中执行引导过程的人通过探测几个位置并识别具有由我们的系统提供的最大分数的位置来决定最佳位置（参见图11（c））。然而，我们强调这是一次性的工作，因为每个器 件 只 执 行 一 次 自 举 阶 段 我 们 建 议 感 兴 趣 的 读 者 访 问https://bit.ly/3w2QTDA-www.example.com，以获取有关我们用户如何执行此扫描的视频演示。一般来说，泄漏最大的位置可能不止一个，在这种情况下，我们选择其中任何一个作为泄漏最大的位置。另一方面，如果我们遇到没有合适位置的设备（例如，处处得分为零），这意味着我们在前一步（§6.3）中将寄生频率识别为 寄生频率，因此得出结论，TickTock7评价我们