Wat tot nu toe werd beschouwd als een eenvoudig veiligheidssysteem voor het bewaken van de bandenspanning Het is het middelpunt geworden van een debat over surveillance en persoonsgegevens. Een Europees onderzoek onder leiding van Madrid stelt dat deze sensoren in de praktijk het volgende mogelijk maken: Volg in stilte de bewegingen van duizenden voertuigen. zonder dat hun eigenaren het te weten komen.
Het werk, gedreven door de Madrid Instituut voor Geavanceerde Studies IMDEA Netwerken Samen met diverse partners van het continent wijst het rapport op een risico dat bijna onopgemerkt was gebleven: de draadloze signalen van het bandenspanningscontrolesysteem (TPMS). Ze worden onversleuteld en met unieke identificatoren verzonden.Dit biedt iedereen met relatief eenvoudige apparatuur de mogelijkheid om een nieuw systeem te bouwen. rijroutes, schema's en routines.
Wat is TPMS en waarom zit het in bijna alle auto's?
El Bandenspanningscontrolesysteem (TPMS) Het is standaarduitrusting geworden in het wagenpark. In de Europese Unie verplicht voor nieuwe personenauto's sinds 2014Na een geleidelijke invoering die in 2012 begon met de nieuwe modellen, en die in de Verenigde Staten al sinds het midden van de jaren 2000 verplicht is. Het officiële doel is duidelijk: verkeersveiligheid verbeterenVerminder klapbanden, detecteer lekke banden tijdig en optimaliseer het brandstofverbruik en de uitstoot.
In voertuigen uitgerust met een direct TPMS-systeem, Elk wiel heeft een kleine sensor in de band.Dit apparaat meet de druk en in veel gevallen ook de temperatuur, en stuurt de informatie periodiek via een radiosignaal naar de boordcomputer. Wanneer de druk onder bepaalde drempelwaarden daalt, geeft het instrumentenpaneel een waarschuwing. een waarschuwingslampje gaat branden zodat de chauffeur de wielen kan controleren.
Deze systemen zijn al in gebruik. bijna twee decennia lang op de markt ingezet zonder grote veranderingen aan het ontwerp van hun draadloze communicatie. Bij het ontwerp lag de prioriteit bij het garanderen van betrouwbare waarschuwingen voor de bestuurder, en niet zozeer bij het beschermen van de informatie die door de lucht wordt verzonden. Dat gebrek aan focus op de cyberbeveiliging in de automobielsector Dat is precies wat de onderzoekers nu aantonen.
Het is belangrijk om onderscheid te maken, zoals het IMDEA-team zelf ook doet, tussen Directe en indirecte TPMSDirecte systemen maken gebruik van sensoren die radiofrequenties uitzenden en daardoor kunnen worden onderschept. Indirecte systemen berekenen de druk aan de hand van andere systemen, zoals ABS of stabiliteitscontrole. Ze genereren geen herkenbare signalen.Daarom vertonen ze ditzelfde volgprobleem niet.
Ontdekking van IMDEA Networks: miljoenen signalen en 20.000 voertuigen
Om te testen in hoeverre TPMS als surveillance-instrument kan worden gebruikt, hebben onderzoekers van IMDEA Networks een onderzoek uitgevoerd. tien weken durende veldstudieGedurende die periode hebben ze een goedkoop radio-ontvangernetwerk Op strategische punten: weggedeelten, in- en uitgangen, openluchtparkeerterreinen en parkeerterreinen.
Elk van die ontvangers, zo meldt het team, kost ongeveer... $100 (ongeveer 90-100 euro) en kon draaien op hardware die net zo betaalbaar was als een Raspberry Pi en een eenvoudige radiomoduleMet die minimale infrastructuur slaagden ze erin om te verzamelen. meer dan zes miljoen draadloze berichten afkomstig van rond 20.000 verschillende voertuigen.
De verzamelde gegevens omvatten zowel functionele informatie over het systeem —voornamelijk bandenspanningsmetingen— als een ander, veel gevoeliger element: een unieke identificatiecode gekoppeld aan elke sensorDoor deze codes over tijd en op verschillende locaties te analyseren, kon het team het volgende bereiken: bewegingspatronen van specifieke auto's reconstrueren.
Domenico Giustiniano, onderzoeksprofessor bij IMDEA Networks en een van de auteurs van het artikel, vat de omvang van het probleem samen: "Deze signalen kunnen worden gebruikt om voertuigen te volgen en hun bewegingspatronen te leren kennen."Daaruit kan men afleiden dagelijkse routines zoals aankomsttijden op het werk, terugkerende bezoeken aan bepaalde gebieden of reisgewoonten over lange afstanden.
De onderzoekers gingen nog een stap verder en Ze ontwikkelden methoden om de signalen van de vier banden van hetzelfde voertuig te groeperen.Deze wielcombinatie maakt een nog nauwkeurigere identificatie mogelijk, waardoor fouten worden verminderd. om nauwkeuriger te bepalen wanneer een auto aankomt, vertrekt of dezelfde routes herhaalt. in een stedelijke of interstedelijke omgeving.
Waarom TPMS-signalen ideaal zijn voor het volgen van voertuigen
Een van de meest delicate aspecten van het probleem is het TPMS-systeem. Het vereist geen direct zicht.In tegenstelling tot verkeerscamera's of automatische kentekenlezers, reizen de radiosignalen die door de sensoren worden uitgezonden door de lucht. Ze kunnen door muren, andere voertuigen en constructie-elementen heen. Met relatief gemak is het mogelijk om het signaal te ontvangen, zelfs wanneer de auto niet zichtbaar is.
Tijdens de uitgevoerde tests heeft het IMDEA-team aangetoond dat TPMS-emissies Ze worden gevangen vanaf afstanden van meer dan 50 meter.zowel wanneer de voertuigen in beweging zijn als wanneer ze geparkeerd in gebouwenMet andere woorden: een ontvanger die op straat of bij de ingang van een overdekte parkeergarage is geplaatst, kan het geluid van voorbijrijdende auto's en geparkeerde auto's binnenin opvangen.
Het belangrijkste element is dat elke druksensor een signaal doorgeeft. Vaste en unieke IDDie identificatiecode verandert niet in de loop der tijd en is ook niet afhankelijk van het kenteken of de bestuurder; het is in de praktijk een “draadloze kentekenplaat” die het voertuig gedurende zijn hele levensduur vergezelt. Omdat het niet beschermd wordt door technieken van versleuteling of authenticatieHet kan worden opgevangen door iedereen met een geschikte ontvanger.
Naast identificatie omvatten dataframes ook het volgende: drukmetingenOp het eerste gezicht lijkt het misschien een onbelangrijk stukje informatie, maar in combinatie met andere elementen stelt het ons in staat om details af te leiden zoals... ongeacht of het voertuig licht of zwaar is.of het voertuig nu gewoonlijk geladen of leeg rijdt, of onderscheid maken tussen een personenauto en een vrachtwagen op basis van drukbereiken en hun gedrag in de loop van de tijd.
Dit alles maakt TPMS tot een monitoringstool met diverse voordelen ten opzichte van op beeld gebaseerde systemen. Het hangt niet af van de verlichting. noch de locatie van de camera's, het vereist geen complexe beeldverwerking en, bovenal, Het is goedkoper en discreter.Een netwerk van kleine ontvangers, verspreid over een stad, zou de passage van voertuigen maandenlang kunnen registreren zonder argwaan te wekken.
Van verkeersveiligheid tot de op handen zijnde cyberbeveiliging.
De onderzoekers benadrukken dat het oorspronkelijke doel van TPMS is en blijft. Verminder het aantal ongelukken veroorzaakt door versleten banden.Het probleem zit hem niet in de functie, maar in het ontwerp van de communicatie.Het TPMS is ontworpen voor verkeersveiligheid, niet voor cyberbeveiliging."Dat herinnert onderzoeker Yago Lizarribar zich, die tijdens zijn tijd bij IMDEA Networks aan het onderzoek heeft deelgenomen.
Momenteel is het merendeel van de Cyberbeveiligingsvoorschriften toegepast op voertuigen in Europa Het richt zich op meer zichtbare, verbonden systemen: telematica-eenheden, software-updates, mobiele connectiviteit, toegang op afstand, enzovoort. Echter, de sensoren beschouwden als “veiligheid”Factoren zoals bandenspanning worden zelden expliciet genoemd in de wettelijke voorschriften.
Dit gebrek aan specifieke vereisten betekent dat veel componenten nog steeds gebruikmaken van protocollen in platte tekstzonder versleuteling of minimale authenticatiemechanismen. Het IMDEA-team vat het risico treffend samen: zolang sensoren onbeveiligde, vaste identificatoren blijven verzenden, Ze zullen een gemakkelijk doelwit blijven voor passieve surveillance. door derden.
De constante opmars naar het verbonden en in sommige gevallen geautomatiseerde voertuig vergroot het blootgestelde oppervlak. Alessio Scalingi, voormalig promovendus bij IMDEA en momenteel professor aan de Carlos III Universiteit van Madrid, benadrukt dat Ogenschijnlijk onschuldige gegevens kunnen, wanneer ze op grote schaal worden verzameld, krachtige identificatiemiddelen worden.Het gaat niet alleen om één specifieke auto, maar om... Breng de volledige mobiliteitsstromen in kaart. in woonwijken, industrieterreinen of interstedelijke assen.
In deze context illustreert het TPMS een breder probleem: Veel voertuigsensoren zijn ontwikkeld in een analoge omgeving.Deze technologieën, met beperkte connectiviteit, zijn zonder grondige veiligheidscontrole geïntegreerd in steeds digitalere platforms. Het resultaat is een lappendeken van technologieën waarin zeer veilige modules naast elkaar bestaan die nog steeds communiceren zoals twintig jaar geleden.
Aanvullende risico's en mogelijke misbruikmogelijkheden
Naast het systematisch volgen van routes wijst het onderzoek op andere, mogelijk ongewenste toepassingen van deze signalen. Het feit dat TPMS open informatie verzendt, maakt het bijvoorbeeld technisch mogelijk om... nepberichten injecteren die een lek of een plotselinge drukdaling simuleren. Dit zou kunnen een onverwachte stop afdwingen van de bestuurder op een specifieke locatie.
Hoewel deze situaties niet de kern vormden van het IMDEA-onderzoek, worden ze wel genoemd. theoretische aanvalsscenario's Deze voorbeelden illustreren hoe kwetsbaar sommige elektronische systemen van de auto zijn. Een aanvaller met voldoende kennis zou schade kunnen toebrengen aan de systemen. niet-bestaande drukwaarschuwingen op een specifiek punt op een weg, met alle gevolgen van dien voor de veiligheid en de openbare orde.
Er bestaat ook bezorgdheid dat, in het geval van transportvloten of bestelwagens, de combinatie van TPMS-identificatiecodes en laadpatronen Dit stelt ons in staat om af te leiden wanneer een vrachtwagen gewoonlijk geladen is, welke routes hij volgt of op welke momenten hij het meest kwetsbaar is. Voor bedrijven en overheidsinstanties opent dit een debat over bescherming van logistieke informatie en kritieke infrastructuur.
Deskundigen wijzen erop dat het probleem niet uniek is voor één land. Gezien het feit dat Het verplichte gebruik van TPMS is van toepassing op een groot deel van Europa en andere ontwikkelde markten.Het potentiële detectiegebied omvat een zeer groot aantal voertuigen. Van Spanje tot andere lidstaten rijden er momenteel miljoenen auto's, bestelwagens en vrachtwagens rond met bandenspanningssensoren die een zeer vergelijkbare architectuur hebben.
Daarom rijst de vraag naar de schaal: wat kan een amateur technisch gezien doen met een goedkope ontvanger? Het zou ook gedaan kunnen worden door een acteur met meer middelen. en de mogelijkheid om een uitgebreid netwerk van sensoren in te zetten. Vandaar dat het team erop staat dat het een probleem met het systeemontwerp, geen probleem van geïsoleerde gevallen..
Wat wordt er voorgesteld om de privacy van chauffeurs te beschermen?
Gezien deze situatie stelt de IMDEA Networks-groep verschillende handelwijzen voor. De eerste, die in de communicatiewereld bijna vanzelfsprekend lijkt, is encryptie en digitale authenticatie integreren voor TPMS-emissies. Het versleutelen van de inhoud zou voorkomen dat een derde partij de drukgegevens kan interpreteren en het voertuig kan identificeren, terwijl authenticatiemechanismen het moeilijk zouden maken om valse berichten te injecteren.
Een andere optie die wordt overwogen is Vermijd het gebruik van statische identificatoren.In plaats van een vast ID dat levenslang aan de sensor is gekoppeld, zou men kunnen gebruiken roterende identificaties of veranderende pseudoniemenDit is vergelijkbaar met wat er in sommige mobiele applicaties en in privacyprotocollen voor draadloze communicatie gebeurt. Zelfs als iemand een signaal zou onderscheppen, zou dat hem dus veel meer kosten. het spoor van dezelfde auto over een bepaalde tijd volgen.
Het team moedigt fabrikanten ook aan om bestaande architecturen beoordelen en overweeg, waar mogelijk, het gebruik van indirecte systemen of hybride ontwerpen die Verminder de afhankelijkheid van identificeerbare radiofrequentie.De onderzoekers zijn zich er in elk geval van bewust dat deze veranderingen niet van de ene op de andere dag kunnen worden doorgevoerd, aangezien ze gevolgen hebben voor goedgekeurde componenten en wereldwijde toeleveringsketens.
Tegelijkertijd worden Europese en nationale regelgevers aangespoord om Neem systemen zoals TPMS expliciet op in de regelgeving inzake cyberbeveiliging van voertuigen.Het idee is dat de eisen niet beperkt moeten blijven tot de meest zichtbare onderdelen, zoals de internetverbinding van de auto, maar dat ze zich juist moeten richten op andere aspecten. Ook sensoren die, zonder verbonden te zijn met het mobiele netwerk, informatie via radio verzenden, behoren tot de mogelijkheden..
Vanuit het perspectief van de eindgebruiker is er momenteel weinig manoeuvreerruimte. Bestuurders kunnen het TPMS wettelijk gezien niet uitschakelen, omdat het onderdeel uitmaakt van de systemen van het voertuig. verplichte uitrusting voor verkeersveiligheidOok is het voor hen niet eenvoudig om te weten welk systeem hun auto gebruikt of hoe de informatie wordt verzonden. Daarom zijn experts het erover eens dat de oplossing ligt in... handelen in de industrie en regelgevingin plaats van de verantwoordelijkheid bij de gebruiker neer te leggen.
Onderzoek van IMDEA Networks heeft aangetoond dat een component dat is ontworpen om te waarschuwen voor een lekke band, zonder grote technische complicaties kan worden omgebouwd tot een continue bron van gegevens over locatie en rijgedragTotdat er beschermende maatregelen worden opgenomen in het ontwerp en de Europese normen, blijven druksensoren een duidelijk voorbeeld van hoe automobieltechnologie, hoe alledaags die ook mag lijken, Het kan een directe impact hebben op de privacy van degenen die achter het stuur kruipen..
