Tag pneumatici Reveal Driver ovunque

I ricercatori della Rutgers University e della University of South Carolina hanno scoperto che wireless le comunicazioni tra nuove auto e le loro gomme possono essere intercettate o addirittura forgiate.

Sebbene il potenziale di abuso possa essere minimo, questa vulnerabilità indica una preoccupante mancanza di rigore con lo sviluppo sicuro del software per le nuove automobili, ha detto Wenyuan Xu, un informatico assistente professore all'Università della Carolina del Sud, che è stato co-conduttore dello studio.

"Se nessuno menziona [tali difetti], allora non si preoccuperanno della sicurezza", ha detto Xu.

[Ulteriori informazioni lettura: Come rimuovere il malware dal PC Windows]

I ricercatori presenteranno i loro risultati al Simposio sulla sicurezza Usenix, che si terrà questa settimana a Washington DC

Il sistema che i ricercatori hanno testato monitora la pressione dell'aria di EA ch pneumatico su un'automobile. Gli Stati Uniti hanno richiesto tali sistemi su nuove automobili dal 2008, grazie alla legislazione approvata dopo le polemiche scoppiate su eventuali pneumatici difettosi Firestone nel 2000. L'Unione Europea richiederà nuove automobili per avere sistemi di monitoraggio simili entro il 2012.

Come sistemi computerizzati sono sempre più utilizzati nelle automobili, i critici come Xu chiedono quali salvaguardie i system makers stanno mettendo in atto per prevenire vulnerabilità in tali sistemi, sapendo che bug e buchi di sicurezza invariabilmente si insinuano in tutti i software.

Toyota è passata sotto il controllo degli Stati Uniti i produttori di legge all'inizio di quest'anno, che hanno chiesto al produttore di automobili se i bug del software potessero essere un motivo per l'accelerazione incustodita dei suoi veicoli, una carica che i funzionari di Toyota hanno smentito.

Con tali sistemi, "le persone cercano solo di far funzionare le cose prima, e non si preoccupano della sicurezza o della privacy durante la prima esecuzione del design ", ha detto Xu.

I sistemi di monitoraggio della pressione dei pneumatici (TPMS) consistono in una radio freq alimentata a batteria tag di identificazione dell'identità (RFID) su ogni pneumatico, che può rispondere con le letture della pressione dell'aria del pneumatico quando interrogato in modalità wireless da un'unità di controllo elettronica (ECU).

I ricercatori hanno scoperto che ciascun sensore ha un ID univoco a 32 bit e quella comunicazione tra il tag e l'unità di controllo non era criptata, il che significa che poteva essere intercettata da terze parti da una distanza di 40 metri.

"Se gli ID dei sensori sono stati catturati nei punti di rilevamento su strada e archiviati in database, terze parti potrebbe dedurre o dimostrare che l'autista ha visitato luoghi potenzialmente sensibili come cliniche mediche, riunioni politiche o locali notturni ", scrivono i ricercatori, in un documento che accompagna la presentazione.

Tali messaggi potrebbero anche essere falsificati. Un aggressore potrebbe allagare l'unità di controllo con letture di bassa pressione che accenderebbero ripetutamente la spia di avvertimento, facendo sì che il guidatore perda fiducia nelle letture del sensore, sostengono i ricercatori. Un utente malintenzionato potrebbe anche inviare messaggi non sensoriali all'unità di controllo, confondendo o addirittura spezzando l'unità.

"Abbiamo osservato che era possibile convincere l'unità di controllo TPMS a visualizzare letture che erano chiaramente impossibili", scrivono i ricercatori. In un caso, i ricercatori avevano confuso così male l'unità di controllo che non poteva più funzionare correttamente, anche dopo il riavvio, e dovevano essere sostituiti dal rivenditore.

Xu ha detto che mentre è possibile rintracciare qualcuno con il loro pneumatico ID, la fattibilità di farlo sarebbe piuttosto bassa. "Qualcuno dovrebbe investire denaro per mettere i ricevitori in luoghi diversi", ha detto. Inoltre, diversi produttori di pneumatici hanno diversi tipi di sensori, che richiedono ricevitori diversi. Ogni ricevitore in questo test costa US $ 1.500.

Ciononostante, i produttori di componenti potrebbero prendere alcune semplici misure per rafforzare la sicurezza di questi sistemi, concludono i ricercatori. Le comunicazioni potrebbero essere crittografate. Inoltre, l'ECU dovrebbe filtrare i messaggi in arrivo in modo tale che tutti i payload inattesi debbano essere scartati, in modo che non corrompano il sistema.

"Il consumatore potrebbe essere disposto a pagare pochi dollari per rendere le proprie macchine sicure", ha detto Xu.

Joab Jackson copre le ultime novità del software aziendale e della tecnologia generale per Il servizio di notizie IDG. Segui Joab su Twitter all'indirizzo @Joab_Jackson. L'indirizzo e-mail di Joab è [email protected]