车联网安全之GPS诱骗

随着车辆GPS技能的广泛应用，其在导航、交通监控等方面的关键性日益凸显，与之相关的安全性问题也备受关注。GPS诱骗便是其中一种重要的威胁本领。
本文旨在使用模拟GPS诱骗装备，模拟差别的GPS攻击以评估其对车辆定位系统的影响。通过这个实验，我们希望深入相识GPS系统的脆弱性，为提拔车辆GPS安全性提供实质性的参考，实验效果将有助于揭示潜在的攻击影响，从而促进更加有效的安全步伐的研发和应用。

 

Part  01  什么是GPS诱骗？

GPS诱骗是指通过修改GPS信号，故意误导车辆的定位系统，可能对导航、交通管理和整体安全性产生潜在威胁。
GPS诱骗可分为静态GPS诱骗和动态GPS诱骗。
静态GPS诱骗是一种通过修改、模拟或屏蔽GPS信号，误导车辆在停车或迟钝行驶状态下的定位系统的攻击。
动态GPS诱骗强调了攻击者不但仅关注车辆的静态位置，还关注在车辆行驶过程中动态地影响其定位。这种攻击方式可能导致更严重的后果，因为它直接威胁到车辆的及时安全性。
Part  02  静态GPS诱骗实验

实验环境
硬件平台：HackRF One、GPS外部时钟、700-2700MHz天线
软件环境：kali运行HackRF环境
GPS终端：使用iphone 6S、小米mix2s等各品牌手机以及某品牌车型车机系统
实验预备
1、gps-sdr-sim项目
这个项目的原理是gps-sdr-sim能根据指定的卫星信息文件、坐标信息、采样频率等参数输出二进制的信号文件，将这个二进制文件导入到USRP大概bladeRF之类的无线电射频装备上就可以实现GPS的伪造。
(1)下载GPS仿真器代码
git clone https://github.com/osqzss/gps-sdr-sim.git
(2)gcc编译：
gcc gpssim.c -lm -O3 -o gps-sdr-sim
2、获取坐标
项目页面上给了三种差别的输入坐标信息的方式：
gps-sdr-sim -e brdc0190.17n -l 29.6562801500,91.1257504400,100 -b 8
   -e 指定RINEX格式GPS导航电文文件
  -l 指定经纬度和海拔
  -b 指定采样精度（hackrf为8，blader为16）
  现在采用的是布达拉宫的经纬坐标。

3、毗连hackrf装备
GPS外部时钟如下图所示安装在HackRF板上：

输入hackrf_debug --si5351c -n 0 -r 可以判定时钟模块是否安装精确，0x01即为安装成功。

检察装备是否被识别，成功识别输入hackrf_info会打印出hackrf的信息：

天生GPS数据
使用-l参数指定之前获取的坐标29.6562801500,91.1257504400，-b参数指定二进制文件格式，实行文件后默认会天生300秒GPS仿真数据。
   ./gps-sdr-sim -e brdc0190.17n -l 【坐标】 -b 8  期待下令实行结束，文件夹中多了一个gpssim.bin文件，这个文件内容就是模拟天生的GPS数据。

发射GPS数据
hackrf_transfer 将天生的基带信号重新天生为GPS信号。
指定GPS数据，-f指定发射频率，指定频率为1575420000 即民用GPS L1波段频率，-s指定采样速率,指定采样速率2.6Msps，-x指定发射功率,开启天线增益，指定TX VGA(IF)为0、10、20不等(为了限制影响范围，最大为47，尽量不要使用)，最后开启重复发射数据功能。
hackrf_transfer -t gpssim.bin -f 1575420000 -s 2600000 -a 1 -x 47 -R
   -f：中心频率，单位 Hz
  -s：采样率，单位 Hz（4/8/10/12.5/16/20 MHz，默认 10 MHz）
  -a：设置功放（1 表示开启，0 表示关闭）
  -R：重复发送模式（默认为关闭）
  

实验效果
找了小米mix2s、苹果6s进行GPS诱骗实验。小米mix2s未成功 ，苹果6S诱骗成功。尝试了百度、腾讯、高德等地图，均可实现诱骗，微信可以共享虚假位置信息。
也可通过carplay上传至车机中，汽车上传至手机的位置信息已经诱骗成功了。
Part  03  动态GPS诱骗实验

实验环境
硬件装备：
HackRF
HackRF 毗连数据线
外部时钟模块（TCXO 时钟模块）
天线（淘宝套餐中的 700MHz-2700MHz 吸盘天线）
软件应用：
hackrf-tools
[Google Earth Pro](https://www.google.com/earth/versions/#earth-pro)
[gps-sdr-sim](https://github.com/osqzss/gps-sdr-sim)
[SatGen Trajectory Generation]
(https://files.cnblogs.com/files/k1two2/SatGenNMEAFree.zip)
利用流程概述
   用 Google Earth Pro 制作运动轨迹坐标 kml 文件
  前往 NASA 官网下载 GPS 导航电文
  用 gps-sdr-sim 将 GPS 导航电文和运动轨迹坐标 kml 文件天生采样文件
  hackrf_transfer 发射 GPS 诱骗信号
  运动轨迹坐标文件
Google Earth Pro 检察国本地图会存在火星偏移，即卫星图与显示地名、街道信息不对应，以卫星图为准。
启动 Google Earth Pro ，探求需要模拟所在，点击添加路径：

Google Earth Pro演示图1
用鼠标点击图上勾画出路径，这里采用玄武湖作为示例：

模拟轨迹图
画图完成并生存后，在位置可以找到生存的路径，右键将位置另存为导出kml文件：

Google Earth Pro演示图2
kml文件内容展示：

kml文件内容
NMEA文件
NMEA 是 GPS 导航装备统一的 RTCM 尺度协议，包罗坐标、海拔、时间轨迹。将运动轨迹坐标 kml 文件导入 SatGen ，就会主动加载 kml 路径。

SatGen软件截图
调参拟合
调解参数将速度轨迹向真实环境进行拟合，SatGen 会模拟真实运动环境，如：拐弯减速、起步&结束停留……
output                    数据更新率
max longacc               最大纵向加速度
max jerk              最大加速度
max latacc                最大横向加速度
max speed             最大速度
stationary period      起步停留时间
stationary period end  结束停留时间
scenario distance      总旅程长度
total time                总耗时
点击"Generate NMEA file"，即可天生尺度的 NMEA 轨迹文件。

NMEA文件内
绕圈轨迹制作
要制作绕圈跑的 NMEA 轨迹只需要画一圈，将 NMEA 文件内容复制粘贴即可：
$GPGGA,090453.93,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*7C
$GPGGA,090454.00,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*71
……
$GPGGA,090453.93,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*7C
$GPGGA,090454.00,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*71
……
GPS导航电文
导航电文用于盘算卫星当前的位置和信号传输的时间，从而使 GPS 接收机在接收导航电文后能确定自身的位置。
各个接收机厂商广泛采用统一的 RINEX 格式，RINEX 本质上是文本文件，RINEX 文件遵照尺度的[命名规则](https://cddis.nasa.gov/Data_and_Derived_Products/GNSS/RINEX_Version_3.html)
获取GPS导航电文
可以在NASA官网上获取 RINEX 格式的GPS导航电文，卫星星历是用于描述太空飞行体位置和速度的表达式——两行式轨道数据系统。
https://cddis.nasa.gov/archive/gps/data/daily/2017/019/17n/

GPS导航电文1
GPS导航电文定义
解压后可以用文本编辑器打开，导航电文文件效果如图所示：

天生采样文件
利用 [gps-sdr-sim](https://github.com/osqzss/gps-sdr-sim) 配合 GPS 导航电文和 NMEA 文件天生 HackRF 发射信号需要的采样文件。
   git clone https://github.com/osqzss/gps-sdr-sim.git  修改动态模式时间上限
gps-sdr-sim 默认动态模式最大只能天生 300s ；静态模式 86400s （10Hz）。联合现实环境修改"gpssim.h"的"USER_MOTION_SIZE"实现自定义时间上限。
将"USER_MOTION_SIZE"调得比 NMEA 轨迹总耗时长 30s 以上。HackRF 开始发出信号，到手机 GPS 被诱骗需要一定时间（30s左右），所以时间上限多加 30s ，让定位稳定被诱骗，以防在模制定位与真实定位之间跳变。
最终运行作用时长取决于较短的那个时间。假如轨迹总耗时400s ，"USER_MOTION_SIZE"定义动态模拟时间上限 300s ，最终运行 300s 。
#3000 == 300s
make USER_MOTION_SIZE=3000
编译gps-sdr-sim
gcc gpssim.c -lm -O3 -o gps-sdr-sim
用法：gps-sdr-sim [选项]
选项：
-e用于GPS星历表的RINEX导航文件（必填）
-u用户动作文件（动态模式）
-gNMEA GGA流（动态模式）
-c <位置> ECEF X，Y，Z，以米为单位（静态模式），例如3967283.15,1022538.18,4872414.48
-l <位置> Lat，Lon，Hgt（静态模式），例如30.286502,120.032669,100
-t <日期，时间>场景开始时间YYYY / MM / DD，hh：mm：ss
-T <日期，时间>将TOC和TOE覆盖到方案开始时间
-d <诱骗时间>连续时间[秒]（动态模式最大值：300静态模式最大值：86400）
-o <输出> I/Q采样数据文件（默认值：gpssim.bin;使用 - 用于stdout）
-s <频率>采样频率[Hz]（默认值：2600000）
-bI/Q数据格式[1/8/16]（默认值：16）
-i 禁用航天器场景的电离层耽误
-v 显示有关模拟频道的详细信息
天生采样文件
./gps-sdr-sim -e <导航电文文件> -g <轨迹文件> -b 8 -o <输出二进制文件路径>
"-b 8"：降低输出文件大小。hackrf 支持的是8-bit的二进制文件，其他 sdr 查询 [readme](https://github.com/osqzss/gps-sdr-sim)

发射GPS诱骗信号
毗连hackrf装备
GPS外部时钟如下图所示安装在HackRF板上。

输入hackrf_debug --si5351c -n 0 -r 可以判定时钟模块是否安装精确，0x01即为安装成功。

检察装备是否被识别，成功识别输入hackrf_info会打印出hackrf的信息：

发射信号
hackrf_transfer -t gpssim.bin -f 1575420000 -s 2600000 -a 1 -x 20 -R
   -t：信号采样文件（gps-sdr-sim 天生的 bin 文件）
  -f：频率赫兹；美国官方的GPS L1信号频段1575420000Hz
  -s：HackRF 采样速率 2.6Msps
  -a：放大器使能，接收/发射射频放大器：1=使能；0=禁用
  -x：增益分贝，TX VGA(中频)增益，0-47db；1dB步长
  -R：重复发射模式
  实验效果
地图中当前的位置信息按照模拟的动态位置信息开始移动。
网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！
对于从来没有接触过网络安全的同砚，我们帮你预备了详细的学习发展路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。
因篇幅有限，仅展示部分资料，朋友们假如有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 
读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个发展路线对应的板块都有配套的视频提供： 

大厂口试题

 

视频配套资料&国内外网安书籍、文档
当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

全部资料共282G，朋友们假如有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~ 
读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击） 

特别声明：

此教程为纯技能分享！本教程的目的决不是为那些怀有不良动机的人提供及技能支持！也不承担因为技能被滥用所产生的连带责任！本教程的目的在于最大限度地叫醒大家对网络安全的器重，并采取相应的安全步伐，从而减少由网络安全而带来的经济丧失。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。