Luka w TPMS: Czujniki opon zdradzają lokalizację auta

Naukowcy z Madrytu przez dziesięć tygodni nasłuchiwali tych sygnałów przy zwykłych drogach i parkingach. Zebrali ponad sześć milionów komunikatów z ponad 20 tys. samochodów, tworząc z nich profile ruchu poszczególnych pojazdów.

Zespół profesora Domenica Giustiniano z IMDEA Networks Institute w Madrycie postawił przy drogach i parkingach kilkanaście niedrogich odbiorników pracujących w paśmie 433 MHz - tym samym, w którym nadają czujniki TPMS w europejskich samochodach. Częstotliwość jest ogólnodostępna i nie wymaga żadnej licencji. Pojedynczy odbiornik kosztował około 100 dolarów - to miniaturowy moduł radiowy.

Przez dziesięć tygodni system rejestrował każdy komunikat z układów TPMS, jaki dotarł do zasięgu anten. Okazało się, że czujniki nadają notorycznie - wystarczyło, że samochód przejechał w promieniu kilkudziesięciu metrów od odbiornika lub zaparkował w pobliżu, a jego cztery czujniki zdążyły wysłać pełny zestaw danych. Badacze rejestrowali sygnały nawet z odległości ponad 50 metrów i przez ściany garaży podziemnych, bo fale radiowe o częstotliwości 433 MHz przenikają beton i karoserię znacznie łatwiej niż światło potrzebne kamerom.

"Nasze wyniki pokazują, że sygnały czujników opon mogą być wykorzystywane do śledzenia pojazdów i rejestrowania ich wzorców ruchu. Sieć tanich odbiorników radiowych mogłaby niepostrzeżenie monitorować ruch samochodów w rzeczywistym otoczeniu. Takie informacje mogą ujawnić codzienne nawyki, jak godziny przyjeżdżania do pracy czy schemat podróży", mówi profesor Giustiniano.

Problem tkwi w sposobie, w jaki czujniki TPMS komunikują się z komputerem pokładowym. Każdy z czterech czujników w kołach samochodu ma zapisany na stałe unikalny numer identyfikacyjny. Gdy czujnik wysyła pakiet danych z odczytem ciśnienia, dołącza do niego ten numer, żeby elektronika wiedziała, które koło traci powietrze. Co więcej, jest przesyłany otwartym tekstem, bez szyfrowania, bo projektanci systemu zakładali, że odbiorcą będzie wyłącznie komputer w tym samym samochodzie.

W rzeczywistości każdy odbiornik pracujący na właściwej częstotliwości odczyta identyfikator równie łatwo jak komputer pokładowy. Naukowcy z Madrytu opracowali algorytmy grupujące te cztery identyfikatory i przypisujące je do jednego pojazdu. Nawet wymiana jednej opony nie rozwiązuje problemu - trzy pozostałe czujniki wystarczają do rozpoznania auta.

W pakiecie danych oprócz identyfikatora znajduje się też aktualne ciśnienie. Na pozór to nieistotna informacja, ale ciężko załadowany pojazd dostawczy generuje inne wartości ciśnienia niż puste auto osobowe - pozwala to wstępnie typować rodzaj pojazdu. Gdy dane zostaną zestawione z lokalizacją odbiornika i znacznikiem czasu, powstaje profil ruchu: gdzie samochód parkuje na noc, którędy kierowca dojeżdża do pracy, jak często pojawia się w danym miejscu.

Regulacje dotyczące cyberbezpieczeństwa pojazdów, zarówno unijne, jak i opracowywane przez UNECE, skupiają się na sterownikach, systemach telematycznych, zdalnych aktualizacjach oprogramowania i komunikacji V2X. Czujniki TPMS figurują w przepisach jako proste podzespoły bezpieczeństwa, takie jak czujnik temperatury czy wskaźnik poziomu paliwa. Żaden obowiązujący standard nie wymaga szyfrowania ich komunikacji.

"TPMS zaprojektowano z myślą o bezpieczeństwie jazdy, nie o ochronie danych. Nasze wyniki pokazują, że producenci i regulatorzy muszą poprawić zabezpieczenia w przyszłych systemach czujników pojazdów", podkreśla Yago Lizarribar, jeden z autorów badania.