Tagi opony ujawniają miejsce pobytu kierowcy

Naukowcy z Rutgers University i University of South Carolina odkryli, że bezprzewodowe komunikacja między nowymi samochodami i ich oponami może zostać przechwycona lub nawet sfałszowana.

Chociaż potencjał niewłaściwego użycia może być minimalny, ta luka wskazuje na niepokojący brak rygoru z bezpiecznym tworzeniem oprogramowania dla nowych samochodów, powiedział Wenyuan Xu, informatyk profesor nadzwyczajny na Uniwersytecie Karoliny Południowej, który był współprowadzącym badanie.

"Jeśli nikt nie wspomina o [takich wadach], wtedy nie będą zawracać sobie głowy bezpieczeństwem," powiedział Xu.

[Dalej czytanie: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Naukowcy zaprezentują swoje wyniki na Sympozjum Bezpieczeństwa Usenix, które odbędzie się w tym tygodniu w Waszyngtonie

System testowany przez naukowców monitoruje ciśnienie powietrza w ea ch opona na samochodzie. USA wymagały takich systemów w nowych samochodach od 2008 roku, dzięki przepisom uchwalonym po wybuchu kontrowersji nad możliwymi wadliwymi oponami Firestone w roku 2000. Unia Europejska będzie wymagać, aby nowe samochody miały podobne systemy monitorowania do 2012 roku.

Jako systemy skomputeryzowane są coraz częściej wykorzystywane w samochodach, krytycy tacy jak Xu pytają, jakie zabezpieczenia producenci systemów wprowadzają, aby zapobiegać lukom w takich systemach, wiedząc, że błędy i luki w zabezpieczeniach niezmiennie wkradają się do całego oprogramowania.

Toyota została poddana analizie USA twórcy prawa na początku tego roku, którzy zapytali producenta samochodów, czy usterki oprogramowania mogą być przyczyną bezwarunkowego przyspieszania swoich pojazdów, zarzut odmowy urzędników Toyoty.

Dzięki takim systemom, "ludzie po prostu starają się, aby rzeczy działały jako pierwsze, i nie dbają o bezpieczeństwo lub prywatność podczas pierwszego uruchomienia projektu "- powiedział Xu.

Systemy monitorowania ciśnienia w oponach (TPMS) składają się z radiowej oznaczenia identyfikacyjne (RFID) na każdej oponie, które mogą odpowiadać odczytami ciśnienia powietrza w oponach, gdy są bezprzewodowo sprawdzane przez elektroniczną jednostkę sterującą (ECU).

Naukowcy odkryli, że każdy czujnik ma unikalny 32-bitowy identyfikator oraz że komunikacja między tagiem a jednostką sterującą była nieszyfrowana, co oznacza, że ​​mogłaby zostać przechwycona przez osoby trzecie z odległości nawet 40 metrów.

"Jeśli identyfikatory sensorów zostały przechwycone w pobocznych punktach śledzenia i zapisane w bazach danych, strony trzecie może wywnioskować lub udowodnić, że kierowca odwiedził potencjalnie newralgiczne miejsca, takie jak kliniki medyczne, spotkania polityczne lub kluby nocne ", piszą naukowcy, w artykule towarzyszącym prezentacji.

Takie wiadomości mogą również zostać sfałszowane. Osoba atakująca może zalać jednostkę kontrolną odczytami niskiego ciśnienia, które wielokrotnie uruchamiałyby lampkę ostrzegawczą, powodując utratę zaufania kierowcy do odczytów czujników, twierdzą badacze. Osoba atakująca może również wysyłać niesensowne komunikaty do jednostki sterującej, myląc lub nawet przerywając jednostkę.

"Zauważyliśmy, że możliwe było przekonanie jednostki kontrolnej TPMS do wyświetlania odczytów, które były wyraźnie niemożliwe" - napisali naukowcy. W jednym przypadku badacze wprawili w zakłopotanie jednostkę sterującą tak bardzo, że nie mogli już działać poprawnie, nawet po ponownym uruchomieniu, i musieli zostać zastąpieni przez dealera.

Xu powiedział, że podczas gdy możliwe jest śledzenie kogoś przez ich oponę Identyfikatory, wykonalność tego byłaby dość niska. "Ktoś musiałby zainwestować pieniądze w umieszczanie odbiorników w różnych lokalizacjach" - powiedziała. Także wielu producentów opon ma różne typy czujników, wymagające różnych odbiorników. Każdy odbiorca w tym teście kosztował 1500 USD.

Niemniej producenci komponentów mogliby podjąć pewne proste kroki w celu wzmocnienia bezpieczeństwa tych systemów, podsumowują naukowcy. Komunikacja może być szyfrowana. ECU powinien również filtrować przychodzące wiadomości, tak aby wszelkie nieoczekiwane ładunki były odrzucane, aby nie uszkodziły systemu.

"Konsument może być gotów zapłacić kilka dolarów, aby zapewnić bezpieczeństwo swoim samochodom" - powiedział Xu.

Joab Jackson obejmuje oprogramowanie dla przedsiębiorstw i ogólne nowości technologiczne dla News Service IDG. Śledź Joaba na Twitterze na @Joab_Jackson. Adres e-mail Joaba to [email protected]