時間都去哪了?!
BPC電波授時信號的“零成本”僞造
阿里巴巴移動安全
工作日,上班路上,看一眼情人節女友剛送的六局電波表。咦,出門明明還早,怎麼眼看要遲到!別慌,可能只是你被“黑”了。
什麼,你戴iWatch?那可以看看這篇:GPS信號僞造。
電波鍾/表顧名思義就是通過接收電波授時信號實現自動對時的鐘表。以“電波表”爲關鍵字在淘寶搜索,可以看到相關產品很多。其中主要是幾個日系的手錶大廠,如卡西歐、西鐵城、精工、東方雙獅等,此外國產品牌也有幾個,就不一一列舉了。我們後面實驗中用到的是一臺掛鐘,由國產品牌康巴絲生產。
授時電波一般由國家負責標準時間的專門機構進行播發。所廣播的時間是國家標準時,由多臺高精度原子鐘組成的守時鐘組產生。授時電波採用頻率低於100千赫的長波波段,不易被遮擋,因此一個發射站就可以基本覆蓋一國國土。中英美日德等國有各自標準的長波授時服務,不僅名稱不一,所用的頻率和編碼也不同,也就是開頭提到的所謂六局(日本面積雖小,但有兩局).
我國的長波授時服務BPC,由中科院國家授時中心與某企業合作建立,面向民用。BPC廣播站設立在河南商丘,頻率爲68.5千赫。採用脈寬調製,碼率1赫茲。每個編碼脈衝寬度爲0.1s,0.2s,0.3s或0.4s,分別代表四進制的0,1,2,3。而這一串四進制的數字是由播發時刻的秒、時、分、星期、日、月、年插入幾個校驗位組成的,長度爲20s,並無任何加密手段。也就是說20秒的信號纔可以完整傳達當前日期和時間。這一編碼方式相比其他各國60秒一幀的方法,對時過程更快。另外需要提醒一下,BPC電波授時編碼屬於某企業的專利技術,不能私自用於商業盈利。既然是專利,就不妨再公開引用一次,編碼示意圖如下。
說了這麼多,同學們應該對電波授時和電波鐘錶也有了大概的瞭解。下面講講如何“黑”的問題。思路很簡單:僞造授時電波信號,蓋過真正的BPC電波,電波鍾也就乖乖聽咱的了。
如何產生信號呢,我們採用了一臺安捷倫最新款PSG系列信號發生器——開玩笑的,我司怎會有這,只有筆記本電腦。好吧,就用筆記本。是的,就用筆記本!
筆記本電腦就位後,照着專利說明書寫一個程序,將日期時間翻譯成BPC編碼,然後將編碼通過電腦自帶的音頻輸出播放出來。爲了避免筆記本自身雜散電磁輻射造成干擾,我們利用耳機作爲播放設備。爲了增強信號強度,我們把耳機粘在鐘錶背後靠近接收天線的位置,把音量調到最大。編造一個錯誤的時間,運行程序開始發播信號,人耳可以聽見脈衝通斷的聲音。按下電波鍾背後的對時按鈕三秒鐘,錶針暫停,進入對時模式。靜待幾分鐘,電波鍾從信號中獲取錯誤的時間,錶針快速旋轉至指定時間,對時成功!
(對時過程有視頻爲證,點擊查看視頻)
講到這裏,肯定有同學要說,聲卡最高只能輸出22千赫的聲音,怎麼能發出68.5千赫,還是電波信號,你不要騙我!且慢,其實是筆者剛有意漏掉一個關鍵點現在來講。電腦所播放的音頻信號實際上是有講究的,我們選擇了68.5千赫的5分頻,13.7千赫,以此作爲載波在上面加載BPC編碼。耳機發聲就是靠線圈產生變化的磁場推動振膜實現的,因此發出聽得見的聲音的同時,也在發出聽不見的電磁波。當我們把輸出音量調至最大,耳機的非線性效應顯著起來,頻率成分中不僅有基頻成分(13.7千赫)還有倍頻成分,其中也就包含13.7千赫的5倍頻信號68.5千赫,也就是BPC的載波頻率。這樣也就實現了標題所說的“零成本”。
作爲一名合格的白帽子,講了“攻”怎麼能不講“防”?防範措施就是我們做了一個艱難的決定,還是不公佈源代碼了。這樣好歹熊孩子惡作劇之前還得好好做上兩晚上功課。實際上僅僅從BPC的編碼上來說,由於其非常簡單透明,是很難防止類似***行爲的。好在現在獲取時間信息的手段多種多樣,通過移動網絡、有線網絡、GPS、北斗等都可以獲得非常準確的時間,因此採用多個時間來源相互參照,能夠大大降低因被***造成損失的概率。