Tyre tags onthullen stuurprogramma Whereabouts

Onderzoekers van Rutgers University en University of South Carolina hebben vastgesteld dat draadloos communicatie tussen nieuwe auto's en hun banden kan worden onderschept of zelfs vervalst.

Hoewel het potentieel voor verkeerd gebruik minimaal kan zijn, wijst deze kwetsbaarheid op een verontrustend gebrek aan nauwkeurigheid met veilige softwareontwikkeling voor nieuwe auto's, zei Wenyuan Xu, een computerwetenschap assistent-professor aan de Universiteit van South Carolina, die mede-leiding gaf aan het onderzoek.

"Als niemand [dergelijke tekortkomingen] vermeldt, zullen ze zich niet bezighouden met beveiliging," zei Xu.

[Verder lezen: Hoe malware van uw Windows-pc te verwijderen]

De onderzoekers presenteren hun bevindingen op het Usenix Security Symposium, deze week gehouden in Washington DC

Het systeem dat de onderzoekers testten bewaakt de luchtdruk van ea ch band op een auto. De VS hebben dergelijke systemen sinds 2008 verplicht in nieuwe auto's, dankzij de wetgeving die werd doorgegeven nadat in 2000 controverse ontstond over mogelijk defecte Firestone-banden. De Europese Unie zal eisen dat nieuwe auto's tegen 2012 vergelijkbare bewakingssystemen hebben.

Als geautomatiseerde systemen worden steeds vaker gebruikt in auto's, critici zoals Xu vragen zich af welke veiligheidsmaatregelen systeemmakers implementeren om kwetsbaarheden in dergelijke systemen te voorkomen, wetende dat bugs en veiligheidslekken steevast in alle software sluipen.

Toyota kwam onder de blik van de VS wetmakers eerder dit jaar, die de autofabrikant vroegen of software-bugs een reden zouden kunnen zijn voor de onbeheerde versnelling van zijn voertuigen, een aanklacht van Toyota.

Met dergelijke systemen proberen "mensen dingen eerst te laten werken, en ze geven niet om de veiligheid of privacy tijdens de eerste ontwerpronde, "zei Xu.

De bandenspanningscontrolesystemen (TPMS) bestaan ​​uit batterijgevoede radiofrequenties identificatie (RFID) tags op elke band, die kan reageren met de luchtdrukwaarden van de band wanneer deze draadloos wordt bevraagd door een elektronische controle-eenheid (ECU).

De onderzoekers hebben vastgesteld dat elke sensor een uniek 32-bits ID heeft en dat de communicatie tussen de tag en de besturingseenheid niet-versleuteld was, wat betekent dat deze kan worden onderschept door derden van wel 40 meter.

"Als de sensor-ID's zijn vastgelegd aan de langszijde van de traceerpunten en zijn opgeslagen in databases, derde partijen zou kunnen concluderen of bewijzen dat de bestuurder mogelijk gevoelige locaties heeft bezocht, zoals medische klinieken, politieke bijeenkomsten of nachtclubs, "schrijven de onderzoekers in een paper dat de presentatie vergezelt.

Dergelijke berichten kunnen ook worden vervalst. Een aanvaller zou de besturingseenheid kunnen overspoelen met lage drukmetingen die het waarschuwingslampje herhaaldelijk zouden doen afgaan, waardoor de bestuurder het vertrouwen in de sensorwaarden zou verliezen, betogen de onderzoekers. Een aanvaller kan ook onzinnige berichten naar de besturingseenheid sturen, waardoor het apparaat verwarrend of mogelijk zelfs wordt verbroken.

"We hebben vastgesteld dat het mogelijk was om de TPMS-besturingseenheid te overtuigen om metingen weer te geven die duidelijk onmogelijk waren", schrijven de onderzoekers. In één geval hadden de onderzoekers de besturingseenheid zo slecht verward dat deze niet meer goed kon werken, zelfs niet na het opnieuw opstarten, en moest deze door de dealer worden vervangen.

Xu zei dat terwijl het mogelijk is iemand te volgen op hun band ID's, de haalbaarheid hiervan zou vrij laag zijn. "Iemand zou geld moeten investeren in het plaatsen van ontvangers op verschillende locaties," zei ze. Ook hebben meerdere bandenfabrikanten verschillende soorten sensoren, die verschillende ontvangers vereisen. Elke ontvanger in deze test kost US $ 1.500.

Toch kunnen fabrikanten van componenten enkele eenvoudige stappen nemen om de veiligheid van deze systemen te verbeteren, concluderen de onderzoekers. Communicatie kan worden gecodeerd. Ook moet de ECU binnenkomende berichten filteren zodat iedereen met onverwachte payloads moet worden weggegooid, zodat ze het systeem niet beschadigen.

"De consument kan bereid zijn om een ​​paar dollar te betalen om zijn auto's veilig te maken," zei Xu.

Joab Jackson behandelt bedrijfssoftware en algemeen nieuws over technologie voor The IDG News Service. Volg Joab op Twitter op @Joab_Jackson. Het e-mailadres van Joab is [email protected]