Tags de Pneus Revelam Localizações de Drivers

Pesquisadores da Universidade Rutgers e da Carolina do Sul descobriram que As comunicações entre carros novos e seus pneus podem ser interceptadas ou falsificadas. Embora o potencial de uso indevido possa ser mínimo, esta vulnerabilidade aponta para uma falta de rigor preocupante com o desenvolvimento seguro de software para novos automóveis, disse Wenyuan Xu, da Computer Science. professor assistente na Universidade da Carolina do Sul, que foi co-líder no estudo.

"Se ninguém menciona [tais falhas], então eles não se incomodarão com a segurança", disse Xu. leitura: Como remover malwares do seu PC com Windows]

Os pesquisadores apresentarão suas descobertas no Usenix Security Symposium, que acontece esta semana em Washington DC

O sistema que os pesquisadores testaram monitora a pressão do ar ch pneu em um automóvel. Os Estados Unidos exigiram tais sistemas em novos automóveis desde 2008, graças à legislação aprovada depois da controvérsia em torno de possíveis pneus defeituosos da Firestone em 2000. A União Européia exigirá que novos automóveis tenham sistemas de monitoramento semelhantes em operação até 2012.

Como sistemas computadorizados estão sendo cada vez mais usadas em automóveis, críticos como Xu estão perguntando o que os fabricantes de sistemas de salvaguardas estão colocando em prática para evitar vulnerabilidades em tais sistemas, sabendo que bugs e buracos de segurança invariavelmente se infiltram em todos os softwares. No início deste ano, os legisladores perguntaram à montadora se os bugs de software poderiam ser uma razão para a aceleração desacompanhada de seus veículos, uma acusação negada pelos funcionários da Toyota.

Com esses sistemas, "as pessoas tentam fazer as coisas funcionarem primeiro". eles não se preocupam com a segurança ou a privacidade durante a primeira execução do projeto ", disse Xu.

Os sistemas de monitoramento da pressão dos pneus (TPMS) consistem em frequência de rádio alimentada por bateria identificação de freqüência (RFID) em cada pneu, que pode responder com as leituras de pressão de ar do pneu quando questionado sem fio por uma unidade de controle eletrônico (ECU).

Os pesquisadores descobriram que cada sensor possui um ID exclusivo de 32 bits e que a comunicação entre a tag e a unidade de controle não foi criptografada, significando que ela poderia ser interceptada por terceiros a partir de 40 metros.

"Se os IDs do sensor foram capturados em pontos de rastreamento na estrada e armazenados em bancos de dados, terceiros poderia inferir ou provar que o motorista visitou locais potencialmente sensíveis, como clínicas médicas, reuniões políticas ou boates ", escrevem os pesquisadores, em um documento que acompanha a apresentação.

Tais mensagens também poderiam ser forjadas. Um invasor poderia inundar a unidade de controle com leituras de baixa pressão que repetidamente disparariam a luz de advertência, fazendo com que o motorista perdesse a confiança nas leituras do sensor, afirmam os pesquisadores. Um invasor também pode enviar mensagens sem sentido para a unidade de controle, confundindo ou possivelmente até mesmo quebrando a unidade. “Nós observamos que era possível convencer a unidade de controle do TPMS a exibir leituras que eram claramente impossíveis”, escrevem os pesquisadores. Em um caso, os pesquisadores confundiram a unidade de controle tão mal que ela não podia mais funcionar corretamente, mesmo após a reinicialização, e teve que ser substituída pelo revendedor.

Xu disse que é possível rastrear alguém pelo seu pneu. IDs, a viabilidade de fazê-lo seria bastante baixa. "Alguém teria que investir dinheiro para colocar receptores em locais diferentes", disse ela. Também vários fabricantes de pneus têm diferentes tipos de sensores, exigindo diferentes receptores. Cada receptor nesse teste custou US $ 1.500.

No entanto, os fabricantes de componentes podem tomar algumas medidas simples para fortalecer a segurança desses sistemas, concluem os pesquisadores. As comunicações podem ser criptografadas. Além disso, a ECU deve filtrar as mensagens recebidas para que qualquer um com cargas úteis inesperadas seja descartado, para que não corrompam o sistema.

"O consumidor pode estar disposto a pagar alguns dólares para garantir a segurança de seus veículos", disse Xu.

Joab Jackson cobre o software corporativo e as notícias gerais de tecnologia para o

Serviço de Notícias IDG

. Siga Joab no Twitter em @Joab_Jackson. O endereço de e-mail de Joab é [email protected]