GPS 易于入侵，且美国没有备用系统

2016 年 8 月 5 日，国泰航空 905 号航班从香港起飞，原本预计准时抵达马尼拉尼诺伊·阿基诺国际机场，但意外发生了。飞行员通过无线电告知空中交通管制员，他们在最后八海里航程中失去了飞往“右跑道 24 号”的 GPS（全球定位系统）导航。

管制员感到惊讶，告诉飞行员仅凭目视降落宽体波音 777-300。机组人员成功降落，但在整个过程中都感到焦虑。幸运的是，那天天空大多晴朗。

这并非孤立事件。在当年的 7 月和 8 月，国际民用航空组织仅在马尼拉机场就收到了 50 多起 GPS 干扰报告。在某些情况下，飞行员不得不立即加速飞机并在机场周围盘旋以尝试再次降落。这种紧急操作可能导致机组人员失去对飞机的控制。在今年 4 月发布的航空安全咨询中，该组织写道，航空业现在依赖于不间断地访问卫星定位、导航和定时服务，并且这些系统的漏洞和威胁正在增加。

支持科学新闻报道

如果您喜欢这篇文章，请考虑通过以下方式支持我们屡获殊荣的新闻报道： 订阅。通过购买订阅，您将帮助确保有关塑造我们当今世界的发现和思想的具有影响力的故事的未来。

近年来，在至少四个主要机场发生的事件中，进近的飞行员突然失去了 GPS 导航。根据美国宇航局的航空安全报告系统，6 月，一架在爱达荷州降落的客机险些撞到山上。幸亏一位警觉的空中交通管制员的干预才避免了灾难。研究这些事件的安全分析师和航空航天工程师表示，至少在某些情况下，可能的原因是恶意干扰。前空中交通管制员、现任佛罗里达州安柏瑞德航空航天大学航空交通管理副教授马丁·劳斯表示，在最好的情况下，GPS 干扰将导致严重的延误，因为飞行员被迫重新规划航班的最后几英里航线，从而给航空公司和乘客造成损失。瘫痪的 GPS 可能会关闭机场。如果有人入侵纽约市大都会区主要机场的 GPS 和仪表着陆系统，将没有容易的地方可以发送到达的飞机。特别是跨大西洋航班将开始耗尽燃料。

虽然我们认为 GPS 是一种方便的工具，可以帮助我们找到去餐馆和聚会场所的路线，但卫星星座的定时功能现在是国土安全部 (DHS) 认定的 16 个“关键”基础设施部门中每一个部门的组成部分。蜂窝电话网络、金融市场、电网、紧急服务等等都依赖于定时以进行基本操作。然而，GPS 是脆弱的。由于无线电波必须传播很远的距离——卫星和地球上的接收器之间超过 12,000 英里——信号很弱，很容易被覆盖，或者像马尼拉发生的那样被“干扰”。它们也很容易被“欺骗”：来自软件无线电（一种可以通过笔记本电脑上的软件创建的广播）的略强信号可以传递虚假消息或重放注入虚假信息的真实消息，从而使接收器相信它在某个地方，或某个时间，而不是真实的位置或时间。

在关键基础设施中，几微秒的误差都可能导致级联故障，从而扰乱整个网络。德克萨斯大学奥斯汀分校航空航天工程副教授托德·汉弗莱斯，以及美国国家空间定位、导航和定时咨询委员会（一个联邦委员会）成员、一家大型国防承包商的前高管达纳·戈沃德，都告诉《大众科学》，他们现在担心外国对手或恐怖组织可能会协调多次针对 GPS 接收器的干扰和欺骗攻击，并严重降低电网、蜂窝电话网络、股票市场、医院、机场等的功能——所有这些都同时发生，而不会被检测到。

真正令人震惊的是，美国的竞争对手并没有面临这种脆弱性。中国、俄罗斯和伊朗都有地面备用系统，GPS 用户可以切换到这些系统，并且这些系统比基于卫星的 GPS 系统更难被覆盖。美国未能实现 2004 年的总统指令，即建立这样一个备用系统。美国尚未发生实际的灾难；如果发生过，决策者最终会采取行动。但正如灾难专家喜欢指出的那样，美国似乎总是为上次的灾难做准备，而不是为即将到来的灾难做准备。

依赖性成为目标

当前的 GPS 是一个由 31 颗卫星组成的网络，称为 Navstar，由美国空军的太空飞行中队运营。为了保持精度，飞行中队每天最多三次通过从卡纳维拉尔角到夸贾林环礁的四个天线网络向卫星传递协调世界时，因为卫星在头顶飞过。由于每颗卫星都装载了原子钟，因此它们保持的时间精度在 40 纳秒以内——在对广义相对论进行调整后，广义相对论使卫星上的时钟每天比地球上的时钟快约 45 微秒，而狭义相对论使它们慢 7 微秒。

每颗卫星持续在多个频率之一上广播二进制代码。军用和民用用户获得独特的广播，通过特殊的代码位以及彼此相位相差 90 度来分隔。信号包含数据包，这些数据包编码时间、卫星在传输时刻的位置以及其他卫星的轨道和状态。智能手机中的 GPS 接收器通过计算无线电信号从发射卫星传播所需的时间来计算其位置，这提供了它们与手机的距离。接收器至少需要四个信号才能准确确定其位置和时间，这就是为什么您可能会在曼哈顿下城的摩天大楼或威尼斯的狭窄小巷中迷失方向。美国的关键基础设施有许多接收器，它们同步运行。*

黑客可以通过用毫无意义的噪声淹没信号来干扰信号，或者他们可以通过向接收器馈送虚假的时间或坐标来欺骗信号，这将使接收器在时间或空间上迷失方向。一旦一台设备失去了正确的时间，它就可以将欺骗时间发送到其网络上的其他设备，从而扰乱整个复杂系统并降低其运行效率。

工业界尤其依赖 GPS，因为它是地球上最精确的计时方法，而且是免费的。在 GPS 出现之前，电网运营商只能估计其输电线路上的负载，这导致效率低下；如今，GPS 定时使他们能够跟踪电网状态并根据实时需求优化运行。金融市场曾经将其系统时间设置为墙上的时钟。即使在交易计算机化之后，不准确的计时和不协调的交易仍然很普遍，因为早期的软件使用计算机内部的时钟，该时钟由人工与国家标准与技术研究院 (NIST)（该国的计时机构）的官方时间对齐。如今的金融系统，从街角熟食店的信用卡机到股票市场，都使用 GPS 对交易进行时间戳和验证，从而使零售商无需在一天结束时传输销售额，并实现了当今如此普遍的全球超高频交易。

蜂窝电话网络使用 GPS 来分解、传递和重新组装数据包，并在电话移动时将呼叫从一个基站切换到另一个基站。电子病历用 GPS 时间盖上时间戳。电视网络使用 GPS 向广告商证明他们的广告在他们付费的时段内播出。全球范围内，使用了超过 20 亿个 GPS 设备。

对 GPS 的巨大依赖是一个诱人的目标。GPS 是脆弱的，并为混乱提供了机会，并且已经展示了破坏它的能力。唯一不确定的因素是，愤怒的个人或团体是否会选择 GPS 作为攻击的工具。答案似乎越来越肯定。汉弗莱斯说：“我们现在有正在进行的国家赞助的欺骗演示。”

其中一个国家是俄罗斯。今年 3 月，华盛顿特区一家研究非营利组织高级国防研究中心确定了近 10,000 起事件，这些事件源于包括俄罗斯联邦、克里米亚和叙利亚在内的 10 个地点。美国政府和学术界的专家表示，伊朗和朝鲜也具备这种能力。戈沃德说：“许多国家和组织”都拥有这种能力。

一位多次向国会发出警告的政府顾问、一位国防承包商前高管以及一位在匿名情况下发言的前联邦官员告诉《大众科学》，针对美国各种系统的协调欺骗-干扰攻击将是容易、廉价且灾难性的。戈沃德说：“它可以大规模和有选择地实施。” 一台欺骗设备的成本约为 5,000 美元，并且可以在网上找到说明。然而，防御起来很困难：“即使是针对最基本威胁的相对简单的欺骗缓解功能也远非易于实施，”欧洲空中交通管制机构 Eurocontrol 的导航基础设施工作人员 Gerhard Berz 在行业杂志 Inside GNSS 中写道。

分布式攻击

对美国基础设施的大规模协调攻击可能由 10 或 12 名拥有合适设备的人员在全国各地分散进行。2001 年 9 月 11 日，19 名基地组织特工在美国改变了历史，但怀有敌意的 GPS 破坏者不需要对上帝抱有自杀式的虔诚、飞行飞机所需的技术培训或谋杀驾驶舱机组人员的残暴。可能唯一阻止 GPS 攻击的是国际法，国际法承认电子战如果造成类似暴力行为的影响，则等同于暴力行为。广泛地瘫痪民用基础设施很可能引发美国的军事反应，至少到目前为止，这可能已经阻止了对手。

尽管协调的 GPS 定时干扰-欺骗攻击造成的生命损失可能少于 9/11 事件，但其破坏性影响可能更广泛。一种情况可能包括将全国各地几个主要十字路口的红绿灯更改为在所有方向上都显示绿灯。附近的建筑物中的黑客将在笔记本电脑上打开一个软件无线电。它将生成交通信号灯使用的全球导航卫星系统提供商的无线电频率载波、噪声代码和数据位的虚假副本。为了诱使交通信号灯锁定虚假信号，欺骗者将扰乱交通信号灯的常规跟踪程序，导致其尝试重新获取信号。如果虚假信号更强，交通信号灯很可能会选择它。现在可以访问交通信号灯的控制器，黑客可以向其馈送不正确的时间，从而在东西向信号变为红色之前激活南北向信号的绿灯。

不同十字路口或不同城市的几名黑客可以协调攻击。或者他们中的一个人可以在一个城市引发一系列十字路口中断。当我就此情景向一位旧金山交通信号灯电工主管提出时，他密切参与了该市交通信号灯控制柜的采购，他认为没有任何人可以通过无线方式连接到 GPS 并更改其时间设置。然而，旧金山在其交通信号灯中使用的 Garmin GPS 模块没有采用任何反欺骗保护措施；相反，制造商的技术规范声明，为了符合联邦通信委员会的规定，Garmin 设备必须接受它遇到的任何无线电频率干扰，即使这种干扰可能会扰乱模块的读数。

并非每个城市都使用 GPS 来定时交通信号灯，但替代方案不一定更好。德克萨斯州交通运输部圣安东尼奥区交通运营经理戴尔·皮查表示，该区一直在逐步淘汰交通信号灯控制柜上的单个 GPS 接收器，而是选择从蜂窝网络获取时间。但这些网络也可能被欺骗。

在交通事故中受伤的人可能不得不等待一段时间才能获得帮助，因为护理人员的无线电依赖于 GPS 定时。当 2016 年几颗 GPS 卫星因故障提供不正确的时间时，北美几乎每个急救人员系统都遇到了通信问题。

更大的目标将是全球金融系统。在新泽西州一片沼泽地中，距离大都会人寿体育场两英里，每天都有价值数万亿美元的金融工具以比特和字节的形式进行交易。那里的 Equinix 数据中心托管着 49 个交易所，包括纽约证券交易所。纽约证券交易所前全球网络服务主管安德鲁·F·巴赫表示，在对股票交易进行时间戳的 GPS 接收器中引入错误将“给金融行业的运营注入混乱”。摩根大通表示，看到情况不妙，计算机（现在占市场交易量的 60%）可能会决定袖手旁观。麻省理工学院斯隆管理学院金融学教授安德鲁·洛说：“当太多人同时涌向出口时，我们就会遇到真正的问题。它很容易导致闪电崩盘 [股价突然大幅下跌] 或更持久的事件。”印第安纳大学凯利商学院金融学副教授诺亚·斯托夫曼说：“我很容易想象，破坏 GPS 会造成灾难性的经济后果。”

当纽约市场摇摇欲坠时，攻击者可以通过几乎每个当地变电站都常见的硬件攻击内陆地区的电网。普拉特河电力管理局位于科罗拉多州朗蒙特的福特汉姆变电站，距离我最近居住的地方丹佛以北 35 英里，其设备和潜在攻击者容易接近的程度都具有代表性。露天装置坐落在 Holiday Inn Express 酒店拐角处的一堵 12 英尺高的墙后面，将数英里外的大型燃气发电厂产生的高压输电线路中的电力降低到当地线路可以为朗蒙特和附近三个城市的 348,000 个家庭和商业客户供电的水平。

在约六英亩的设施中散布着金属箱，里面装有相量测量单元 (PMU)，用于监控电网的状态。PMU 的定时由 GPS 设置。太平洋西北国家实验室的电气工程师杰夫·达格尔是美国电网专家，他坚称，由于 PMU 对电网的实际运行并不关键，因此欺骗它们不会导致停电。但 NIST 2017 年 9 月的一份报告认为，对 PMU 的欺骗攻击可能会迫使发电机离线。报告称，几台大型发电机的突然损失“将造成瞬时供需失衡和电网不稳定”——可能导致停电。汉弗莱斯和他的同事在实验室环境中演示了这种定时故障。尽管 PMU 位于墙后，但它们的 GPS 接收器可能会在四分之一英里外的酒店房间内被欺骗。美国有 55,000 个变电站。

戈沃德和汉弗莱斯警告公用事业公司高管他们面临的危险，他们说很少有人意识到。他们坚持认为，更少的人制定了充分的应急计划（其中一些计划也依赖于 GPS）。戈沃德说，监督电网网络的人工控制员“可能在几个小时内都不会想到 GPS 可能是问题的来源”。此外，他指出，“攻击者将能够在相当长一段时间内掩盖他们的行为。”

停电是代价高昂且危险的，但欺骗飞机可能会提供最大的戏剧性。汉弗莱斯和 Eurocontrol 的 Berz 都认为这将是困难的，但并非不可能。军用飞机使用一种称为选择性可用性反欺骗模块的设备，但这并非民用飞机的强制要求，并且政府严格限制部署。培训空中交通管制员的劳斯告诉我，飞行员还有其他着陆选择。然而，主要的备用方案是机场的仪表着陆系统，该系统为飞机提供水平和垂直引导以及到着陆点的距离。该系统在无线电波上运行，并且是为安全而不是安全而构建的，因此它是未加密的——这意味着人们可以通过诱使飞机的接收器锁定虚假信号来欺骗它。

提高韧性

社会对 GPS 的依赖只会增加。支持 5G 的物联网将严重依赖 GPS，因为设备需要精确的定时才能彼此之间以及跨网络同步。机器将需要为人工智能和增强现实应用程序生成的“镜像世界”也将如此。

尽管国土安全部承认这种威胁，但并非所有人都对它正在做的事情——或没有做的事情——感到满意。国土安全部定位、导航和定时办公室主任詹姆斯·普拉特表示，该机构正在与 NIST 合作，为不同类型的接收器制定不同级别的安全性。国土安全部还进行年度演习，使设备制造商能够测试其机器的抗攻击能力。结果不公开，但与 GPS 合作了 40 年的顾问洛根·斯科特表示，“许多接收器在暴露于干扰和欺骗时表现不佳。”

反欺骗是一个蓬勃发展的研究领域，过去几年发表了数百篇论文。例如，在欺骗攻击期间，真实 GPS 信号的残余物会在接收器上表现为失真。专用接收器可以监控这种失真，并在检测到失真时发出警报，但欺骗者可以生成信号来消除失真。汉弗莱斯说：“没有万无一失的防御措施。您可以尝试做的是通过部署反欺骗保护措施来让您的对手付出代价。” 然而，如果配备合适的设备，欺骗者可以克服这些保护措施。保护措施和新威胁在无线电频率频谱的军备竞赛中不断发展。“如果你的对手恰好是俄罗斯联邦，”汉弗莱斯说，“祝你好运。”

如果美国建立像其他国家维护的那样的备用定时系统，军备竞赛可能会得到缓解。2018 年 12 月，唐纳德·特朗普总统签署了《国家定时弹性与安全法案》，该法案指示交通部 (DOT) 在 2020 年之前建立一个“陆基、弹性且可靠的备用定时系统”。但该法案和总统都没有为这项事业提供资金。

批评人士（如戈沃德和其他人）表示，这项法律只是美国政府反应不足的最新例证。国土安全部在 2001 年发布了一份关于 GPS 漏洞的报告。乔治·W·布什总统在 2004 年指示国土安全部和交通部创建一个备用系统。国防部副部长和交通部副部长在 2015 年告诉国会，他们将合作开发一个名为 eLoran（增强型远程导航）的系统，该系统完全符合 2018 年法案的要求。国会多年前资助了一个 eLoran 试点计划，但没有花费一分钱的资金。交通部助理部长亚当·沙利文在 5 月 8 日致众议院交通和基础设施委员会主席彼得·德法齐奥的信中表示，交通部“计划在 2019 年底前开展技术现场演示……能够为关键基础设施提供备用 [定位、导航和定时] 服务”。9 月，交通部发布了提案征集，一周后，德克萨斯州参议员特德·克鲁兹和马萨诸塞州参议员埃德·马基致信交通部长，询问究竟是什么耽搁了这么长时间。

eLoran 系统将通过传递比 GPS 的超高频信号强得多的低频无线电信号，从而使干扰和欺骗几乎无关紧要，因此几乎不可能被覆盖。戈沃德和加利福尼亚州众议员约翰·加拉门迪表示，eLoran 的计划是通过公私合作伙伴关系建造大约二十几个巨型天线，这些天线是实现全国覆盖所必需的，约翰·加拉门迪一直在敦促几届政府采取行动。据报道，美国空军和五角大楼也在研究其他潜在的备用系统。各个国家维护的备用系统本质上都是 eLoran 的各种版本。

即使明天开始工作，eLoran 也需要数年才能建成。设计、制造和交付给客户能够接收信号的新设备和接收器将需要更长的时间。雷神公司前网络系统主管弗兰克·普劳茨奇也曾在休斯航天与通信公司从事航天系统工作，他说：“四年是很乐观的估计。”

另一种全球补救措施是在卫星源处使用数字签名来更改 GPS 信号，以验证数据并部署密码学中常见的公钥基础设施。但来自当前卫星星座的信号无法更改。一位空军发言人表示，目前没有计划将数字签名纳入正在洛克希德·马丁公司位于丹佛西部的安全设施中建造的下一代卫星。

尽管如此，普拉特对关键基础设施的韧性充满信心。他说：“我们已与行业界讨论，以确保他们制定了缓解策略。” 戈沃德的回应是：“建议吉姆关闭 GPS 24 小时，看看会发生什么。”

*编者注（2019 年 11 月 22 日）：此段已在发布后修订，以更正对 GPS 卫星发送的民用和军用信号如何区分的描述。