Dekketiketter Reveal Driver Whereabout

Forskere fra Rutgers University og University of South Carolina har funnet ut at trådløse Kommunikasjon mellom nye biler og dekkene deres kan bli avskjediget eller til og med smidd.

Selv om potensialet for misbruk kan være minimal, peker dette sårbarheten på en plagsom mangel på strenghet med sikker programvareutvikling for nye biler, sa Wenyuan Xu, en datavitenskap assisterende professor ved University of South Carolina, som var ledende på studien.

"Hvis ingen nevner [slike feil], så vil de ikke bry seg om sikkerhet," sa Xu. leser: Slik fjerner du skadelig programvare fra din Windows-PC]

Forskerne vil presentere sine funn på Usenix Security Symposium, som holdes denne uken i Washington DC.

Systemet som forskerne testet overvåker lufttrykket av ea ch dekk på en bil. USA har krevd slike systemer i nye biler siden 2008, takket være lovgivning som ble vedtatt etter at kontroversen brøt ut over mulige defekte Firestone-dekk i 2000. Den europeiske unionen vil kreve at nye biler skal ha tilsvarende overvåkingssystemer innen 2012.

Som edb-systemer blir stadig mer brukt i biler, kritiserer kritikere som Xu hvilke sikkerhetskonsulenter systemtakere setter på plass for å forhindre sårbarheter i slike systemer, og vet at bugs og sikkerhetshull alltid smuger seg inn i all programvare.

Toyota kom under undersøkelsen av USA lovgivere tidligere i år, som spurte bilprodusenten om programvarebugs kunne være en grunn for den uovervåte akselerasjonen av sine biler, en avgift som Toyota-tjenestemenn nektet.

Med slike systemer, prøver folk bare å få ting til å fungere først, og De bryr seg ikke om sikkerheten eller personvernet i løpet av første runde av design, "sa Xu.

Dekktrykkovervåkningssystemene (TPMS) består av batteridrevet radiofrekvens identifikasjons- (RFID) -koder på hvert dekk, som kan reagere med lufttrykklesningene til dekket når de trådløst forespørres av en elektronisk kontrollenhet (ECU).

Forskerne hadde funnet ut at hver sensor har en unik 32-bits ID og at kommunikasjonen mellom taggen og kontrollenheten ble ukryptert, noe som betyr at den kunne bli oppfanget av tredjepart fra så langt som 40 meter.

"Hvis sensor IDene ble fanget ved sporingsspor på vei og lagret i databaser, kan påvise eller bevise at sjåføren har besøkt potensielt følsomme steder som medisinske klinikker, politiske møter eller nattklubber, skriver forskerne i et papir som følger med presentasjonen.

Slike meldinger kan også smidges. En angriper kan oversvømme kontrollenheten med lavtrykksavlesninger som gjentatte ganger ville sette av advarselslyset, noe som førte til at sjåføren mistet tilliten til sensoravlesningene, forsker det. En angriper kan også sende usynlige meldinger til kontrollenheten, forvirre eller eventuelt ødelegge enheten.

"Vi har observert at det var mulig å overbevise TPMS-kontrollenheten for å vise avlesninger som var tydelig umulig," skriver forskerne. I ett tilfelle hadde forskerne forstyrret kontrollenheten så ille at det ikke lenger kunne fungere riktig, selv etter omstart, og måtte byttes ut av forhandleren.

Xu sa at mens det er mulig å spore noen av dekkene sine ID-er, ville det være ganske lavt å gjennomføre det. "Noen ville måtte investere penger ved å sette mottakere på forskjellige steder," sa hun. Også flere dekkprodusenter har forskjellige typer sensorer, som krever forskjellige mottakere. Hver mottaker i denne testen koster USD 1.500.

Likevel kan komponentprodusenter ta noen enkle trinn for å styrke sikkerheten til disse systemene, konkluderer forskerne. Kommunikasjon kan krypteres. Også ECU skal filtrere innkommende meldinger slik at alle med uventet nyttelast skal kasseres, slik at de ikke ødelegger systemet.

"Forbrukeren kan være villig til å betale noen få dollar for å gjøre sine biler tryggt," sa Xu.

Joab Jackson dekker virksomhetsprogramvare og generell teknologi som bryter nyheter for

IDG News Service. Følg Joab på Twitter på @Joab_Jackson. Joabs e-postadresse er [email protected]