Renkaan tunnisteet paljastavat kuljettajan sijainnit

Rutgers Universityn ja South Carolinain yliopiston tutkijat ovat havainneet, uusien autojen ja niiden renkaiden välinen tiedonsiirto voidaan keskeyttää tai jopa väärennetty.

Vaikka väärinkäytön mahdollisuudet voivat olla vähäisiä, tämä haavoittuvuus viittaa häiritsevään puutteeseen ja turvallisten ohjelmistojen kehittämiseen uusille autoille, kertoi Wenyuan Xu, tietojenkäsittelytiede

"Jos kukaan ei mainitse [tällaisia ​​puutteita], niin he eivät häiritse turvallisuutta", Xu sanoi.

[Lisää lukeminen: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tutkijat esittelevät havainnot Usenix Security Symposiumissa, joka pidetään tällä viikolla Washington DC: ssä

Tutkittujen tutkijoiden järjestelmä seuraa ea rengas autossa. Yhdysvallat on vaatinut tällaisia ​​järjestelmiä uusissa autoissa vuodesta 2008, kun lainsäädännöstä on päästy sen jälkeen, kun kiistanalainen tilanne on puhjennut Firestonen mahdollisten puutteellisten renkaiden varalta. Euroopan unioni tarvitsee uusia autoja vastaavanlaisten valvontajärjestelmien käyttöönottamiseksi vuoteen 2012 mennessä.

joita Xu kysyy, mitkä suojaavat järjestelmänvalmistajia estämään tällaisissa järjestelmissä olevat haavoittuvuudet tietäen, että vikoja ja turva-aukkoja muutetaan aina kaikkiin ohjelmistoihin.

Toyota tuli Yhdysvaltojen valvontaan jotka kysyivät autovalmistajalta, jos ohjelmistovirheet voisivat olla syy ajoneuvojensa valvomattomaan kiihtyvyyteen, Toyota-viranomaiset kieltäytyivät maksamasta.

Tällaisilla järjestelmillä "ihmiset yrittävät vain tehdä asiat toimimaan ensin ja he eivät välitä turvallisuudesta tai yksityisyydestä ensimmäisen suunnittelun aikana ", Xu totesi.

Rengaspaineiden valvontajärjestelmät (TPMS) koostuvat akkukäyttöisestä radiotaajuudesta

Tutkijat olivat havainneet, että jokaisella anturilla on ainutlaatuinen 32-bittinen ID-tunniste (RFID) jokaisella renkaalla, joka voi reagoida renkaan ilmanpainearvojen kanssa elektronisen ohjausyksikön (ECU) ja että tunnisteen ja ohjausyksikön välinen tiedonsiirto salaamattomaksi tarkoitti sitä, että kolmannet osapuolet voisivat siepata ne jopa 40 metrin etäisyydeltä.

"Jos anturien tunnistetiedot on otettu tienvarsien seurantapisteissä ja tallennettu tietokantoihin, voisi päätellä tai todistaa, että kuljettaja on käynyt potentiaalisesti herkissä paikoissa, kuten lääkäriklinikoissa, poliittisissa kokouksissa tai yökerhoissa ", tutkijat kirjoittavat esityksessä mukana olevassa paperissa.

Tällaisia ​​viestejä voidaan myös taittaa. Hyökkääjä voisi tulvata ohjausyksikköä alhaisella painearvolla, joka toistuisi varoitusvalon sammuttamisen, jolloin kuljettaja menettää luottamuksen anturin lukemiin, tutkijat väittävät. Hyökkääjä voi myös lähettää käsittämättömiä viestejä ohjausyksikköön, sekoittaen tai mahdollisesti jopa katkaisemaan yksikön.

"Olemme havainneet, että TPMS-ohjausyksikkö pystyi vakuuttamaan lukemista, jotka olivat selvästi mahdottomia", tutkijat kirjoittavat. Yhdessä tapauksessa tutkijat olivat hämmentäneet ohjausyksikköä niin pahasti, ettei se enää voinut toimia kunnolla uudelleen käynnistämisen jälkeen, ja jouduin korvaamaan jälleenmyyjä.

Xu sanoi, että vaikka on mahdollista seurata jonkun rengas ID: n, sen toteutettavuus olisi melko alhainen. "Jonkun pitäisi sijoittaa rahaa vastaanotinten vastaanottamiseen eri paikoissa", hän sanoi. Myös useilla rengasvalmistajilla on erilaisia ​​antureita, jotka vaativat erilaisia ​​vastaanottimia. Jokainen tämän testin vastaanotin maksoi 1500 dollaria.

Komponenttien valmistajat voisivat kuitenkin toteuttaa helpot toimenpiteet näiden järjestelmien turvallisuuden parantamiseksi, tutkijat toteavat. Viestintä voitaisiin salata. Myös ECU: n tulisi suodattaa tulevat viestit, jotta kaikki odottamattomat hyötykuormat olisi hylättävä, jotta ne eivät vahingoittaisi järjestelmää.

"Kuluttaja voi olla valmis maksamaan muutamia dollareita autojensa varmistamiseksi", Xu sanoi.

Joab Jackson kattaa Enterprise-ohjelmiston ja yleisen teknologian uutisia IDG News Service. Seuraa Joab Twitterissä osoitteessa @Joab_Jackson. Joabin sähköpostiosoite on [email protected]