Tags tayar mendedahkan di mana pemandu

Para penyelidik dari Rutgers University dan University of South Carolina telah mendapati bahawa wayarles komunikasi antara kereta baru dan tayar mereka boleh dicegah atau dipalsukan.

Walaupun potensi penyalahgunaan mungkin sedikit, kelemahan ini menunjukkan kekurangan ketegaran dengan pembangunan perisian yang selamat untuk kereta baru, kata Wenyuan Xu, sains komputer pembantu profesor di University of South Carolina, yang menjadi pemimpin dalam kajian itu.

"Jika tidak ada yang menyebut [kelemahan itu], maka mereka tidak akan peduli dengan keamanan," kata Xu. membaca: Bagaimana untuk membuang malware dari PC Windows Anda

Para penyelidik akan membentangkan penemuan mereka di Simposium Keselamatan Usenix, yang diadakan minggu ini di Washington DC

Sistem yang diuji penyelidik memantau tekanan udara ch tayar pada kereta. Amerika Syarikat telah mengharuskan sistem sedemikian dalam kereta baru sejak tahun 2008, berkat undang-undang yang diteruskan setelah kontroversi meletus kemungkinan tayar Firestone yang cacat pada tahun 2000. Kesatuan Eropah akan memerlukan kereta baru untuk memiliki sistem pemantauan serupa pada tahun 2012.

Sebagai sistem berkomputer semakin banyak digunakan dalam kereta, pengkritik seperti Xu bertanya apa pembuat sistem perlindungan dibuat untuk mencegah kelemahan dalam sistem sedemikian, mengetahui bahawa bug dan lubang keselamatan selalu menyelinap ke dalam semua perisian.

Toyota berada di bawah pengawasan AS pembuat undang-undang pada awal tahun ini, yang meminta pembuat kereta jika bug perisian boleh menjadi alasan untuk mempercepatkan pecutan kenderaannya, tuduhan pegawai Toyota ditolak.

Dengan sistem sedemikian, "orang hanya cuba membuat kerja lebih awal, dan mereka tidak peduli dengan keselamatan atau privasi semasa reka bentuk pertama, "kata Xu.

Sistem pemantauan tekanan ban (TPMS) terdiri daripada frekuensi radio berkuasa bateri tag pengenalpastian uency (RFID) pada setiap tayar, yang boleh bertindak balas dengan pembacaan tekanan udara tayar apabila secara wayarles ditanyakan oleh unit kawalan elektronik (ECU).

Para penyelidik telah mendapati bahawa setiap sensor mempunyai ID 32-bit yang unik dan komunikasi antara tag dan unit kawalan tidak dienkripsi, bermakna ia boleh dicegah oleh pihak ketiga dari jarak sejauh 40 meter.

"Jika ID sensor ditangkap pada titik pelacakan tepi jalan dan disimpan dalam pangkalan data, pihak ketiga boleh menyimpulkan atau membuktikan bahawa pemandu telah melawat lokasi yang berpotensi sensitif seperti klinik perubatan, mesyuarat politik, atau kelab malam, "tulis para penyelidik, dalam sebuah kertas yang mengiringi persembahan itu.

Mesej tersebut juga boleh dipalsukan. Penyerang boleh membanjiri unit kawalan dengan bacaan tekanan rendah yang berulang kali akan memadamkan lampu amaran, menyebabkan pemandu kehilangan kepercayaan pada bacaan sensor, penyelidik berpendapat. Penyerang juga boleh menghantar mesej yang tidak masuk akal ke unit kawalan, mengelirukan atau mungkin memecahkan unit.

"Kami telah melihat bahawa mungkin untuk meyakinkan unit kawalan TPMS untuk memaparkan bacaan yang jelas mustahil," tulis para penyelidik. Dalam satu kes, para penyelidik telah membingungkan unit kawalan dengan begitu teruk sehingga ia tidak dapat beroperasi dengan lebih baik, walaupun selepas reboot, dan terpaksa digantikan oleh peniaga.

Xu berkata bahawa walaupun mungkin untuk mengesan seseorang dengan tayar mereka ID, kebolehlaksanaannya akan agak rendah. "Seseorang perlu melabur wang untuk meletakkan penerima di lokasi yang berbeza," katanya. Juga pengeluar tayar berganda mempunyai jenis sensor yang berbeza, yang memerlukan penerima berbeza. Setiap penerima dalam ujian ini menelan kos US $ 1,500.

Walau bagaimanapun, pengeluar komponen boleh mengambil beberapa langkah mudah untuk mengukuhkan keselamatan sistem ini, para penyelidik menyimpulkan. Komunikasi boleh disulitkan. Juga ECU harus menapis mesej masuk supaya mana-mana dengan muatan tidak dijangka harus dibuang, sehingga mereka tidak merosakkan sistem.

"Pengguna mungkin bersedia membayar beberapa dolar untuk membuat autos mereka selamat," kata Xu.

Joab Jackson merangkumi perisian perusahaan dan berita teknologi umum untuk

Perkhidmatan Berita IDG. Ikut Joab di Twitter di @Joab_Jackson. Alamat e-mel Joab ialah [email protected]