编译:代码卫士
西班牙研究机构 IMDEA 及其合作机构的研究人员指出,丰田、雷诺、现代和梅赛德斯等品牌的车辆轮胎压力监测系统(TPMS)广播未加密的轮胎数据,可实现对车辆及驾驶员进行低成本的被动追踪。研究人员用时10周,通过成本100美元的接收器捕获了来自2万辆车辆的超过600万个信号,凸显了严重的隐私风险问题。
直接式轮胎压力监测系统(dTPMS)传感器嵌在轮胎内部,通过315/433 MHz无线电以20 kbps的速率明文传输压力、温度、电池状态以及一个唯一的24-32位ID信息。与大众汽车集团所使用的间接式轮胎压力监测系统(iTPMS)不同,dTPMS缺乏加密或ID轮换机制,使得信号即使在非视距条件下,最远在55米外也能被窃听。在行驶状态下,信号每30至120秒传输一次;而在停车状态下,某些品牌甚至每小时都会发送信号,从而形成了持久的数字指纹。
受影响车企
丰田、雷诺、现代和奔驰倾向于使用电池供电的直接式 TPMS,并采用专有协议,如幅移键控/频移键控调制。丰田的传感器即使在静止状态下也会持续发射信号,而雷诺的传感器则主要在行驶运动中激活。
汽车制造商 | TPMS类型 | 关键特征 | 传输行为示例 |
丰田 | dTPMS | 持续广播 | 停车时每小时 |
雷诺 | dTPMS | 行驶中触发 | 静止时频率较低 |
现代 | dTPMS | 未加密ID | 易受 SDR 捕获 |
奔驰 | dTPMS | 专有协议 | 明文压力数据 |
虽然在2007年至2012年间,这些系统已成为全球范围内的强制安全标配,但尽管有联合国第155号法规,网络安全漏洞依然存在。
研究团队部署了五个基于树莓派的RTL-SDR接收器(每个约100美元),将其放置在靠近道路的室内位置,在10周内覆盖了10050平方米的区域。他们使用开源解码器rtl_433,通过MQTT/InfluxDB接收数据,并借助Autel TS501工具过滤出12辆验证车辆的ID。时速50公里的移动车辆测试证实,该设备能够全向可靠地捕获信号。
车辆识别技术
在车辆识别技术方面,研究人员采用杰卡德系数对一分钟时间窗口内的信号进行分析:J(A,B) = |A ∩ B| / |A ∪ B|,通过传递合并对共现的ID进行聚类。据研究显示,这种方法优于互相关分析,即使在信号稀疏的情况下也能准确识别全部12辆汽车。当同时检测到四个轮胎的ID时,覆盖率可从单一ID的40%提升至接近100%,这对于移动追踪场景至关重要。
攻击者可以通过时间模式推断出车主的日常活动规律,例如工作时间(如早八晚五)、居家办公日、午休时间或出行行程。胎压数据可以泄露车辆类型、重量(如轿车胎压为230千帕)或载重情况;若与摄像头结合使用,便可关联到车主身份。由此带来的风险包括入室盗窃(通过检测车辆缺席)、企业监控,或者通过伪造信号实施劫持或拒绝服务攻击。
对匿名车辆数据的分析显示,驾驶员信息包括兼职工作者(如1号车:上午8点到达,绕道大学)、全职员工(周五缺席)以及外部人员(出现出行间隙)。胎压趋势可以反映轮胎充气情况(例如第13天前轮胎压升高)。若大规模部署,这种技术可以隐蔽地监控整个城市,规避车牌识别系统。
联合国第155号法规(UN R155)规定了车辆网络安全要求,但并未涵盖TPMS;自2022年以来,已有54个国家强制执行该法规。此前的研究曾提出加密或定时传输等方案,但均未被广泛采用。新推出的倍耐力/博世Cyber Tyre使用蓝牙低功耗技术(BLE),但仍可被窃听,且仅限于高端车型。
汽车制造商应加密或轮换传感器ID,或采用无固定信标的超低功耗模式。政策制定者必须更新法规(如欧盟2019/2144),将TPMS纳入监管范围。驾驶员可使用TPMS触发工具验证ID,但无法禁用原车系统;售后加密传感器尚未得到验证。短期解决方案包括部署定向天线或低频屏蔽措施,但这些方法实用性不强。这一漏洞凸显了在网联汽车中安全功能可演变为监视工具,亟需修订相关协议。
原文链接
https://cybersecuritynews.com/tire-pressure-systems-vehicle-tracking/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
