トヨタ、メルセデス、その他大手ブランドのTPMS欠陥が秘密のクルマ追跡を可能にする

トヨタ、メルセデス、その他多くの人気ブランドのタイヤ空気圧監視システム（TPMS）は、強力なクルマ追跡ツールに変えることができる無線信号を静かに放射しています。

新しい研究では、これらの日常的な安全メッセージを大規模に収集できることが示されており、安価なハードウェアを持つ誰もが、自動車がどこに行き、いつ移動し、誰が運転しているかを推測することができます。

現代の自動車は、各ホイール内の直接TPMSセンサーを使用し、タイヤ空気圧と温度データをクルマの電子制御ユニットに無線で送信します。

多くのトヨタ、メルセデス、ルノー、ヒュンダイ、およびその他のモデルでは、これらのセンサーは315または433 MHzで暗号化されていないメッセージを送信し、ほとんど変わらない固定された一意の識別子が含まれています。

メッセージが平文であるため、近くの受信機は車両と相互作用する必要なくそれらをキャプチャできます。

受信機ごとに約100ドルの機器で、彼らは20,000台以上の車両から600万件以上のTPMSメッセージを収集しました。これには、タイヤIDを確認できた12台の車が含まれます。

彼らは、TPMS信号は50メートルを超える距離で受信でき、壁を通してよく、視線がなくても受信でき、建物または路側インフラストラクチャ内に受信機を隠しやすいことを示しました。

攻撃者が学べることは何か

車の各タイヤは、車が移動している間、そして一部のブランドでは駐車中でも定期的にメッセージを送信します。

都市全体にこのようなスペクトラムデバイスのネットワークを確立することで、悪意のあるユーザーは車を追跡し、行動パターンを推測することができます。

短い時間窓内で「一緒に現れる」4つのタイヤIDを相互参照することで、チームはそれらを一意の車「フィンガープリント」に確実にグループ化できました。

Jaccard指数などの類似性メトリクスを使用して、タイヤIDを車と照合し、数週間にわたって運転と駐車パターンを再構築できました。

これらのパターンから、観察者は次のような機密情報を推測できます：

圧力値自体も情報を漏らします。より高い圧力は、より重い車両または積載されたトラックを示すことができ、おおよその車両タイプと貨物状態を明らかにします。

カメラまたは自宅アドレスの知識と組み合わせて、ストーカーまたはデータ仲介人はTPMS IDを特定の人物にリンクでき、受信機がデプロイされている場所ならどこでもその個人を追跡できます。

この調査は、トヨタを含む主要メーカー、ルノー、ヒュンダイ、およびメルセデスが一般的に固定IDを持つ暗号化されていない無線ビーコンのこの脆弱なパターンに従う直接TPMS設計を使用していることを指摘しています。

多くの場合、センサーは車が駐車されている場合でも送信を続け、攻撃者の追跡ウィンドウを拡張します。

スマートフォンとは異なり、ドライバーは単に「TPMSをオフにする」ことはできません。システムは米国とEUなどの地域で法的に義務付けられており、無効化することで警告灯または検査不合格がトリガーされます。

車両の向きに基づいて信号受信に有意なバイアスはありません。これは、方向決定は実行不可能な場合がありますが、車両本体による比較的低い信号減衰により、送信機の位置に関係なく一貫したメッセージキャプチャが可能になることを示しています。

UN規制第155号などのグローバル規制では、自動車メーカーがサイバーセキュリティ管理システムを実装することが要求されていますが、現在の規則はTPMSプライバシーを明確に対処したり、これらの無線メッセージの暗号化を義務付けたりしていません。

その結果、今日の道路上の数億台の車が、問題を修正するメーカーに対する明確なコンプライアンス圧力なしで、追跡可能な識別子を静かに放射しています。

TPMS送信はまばらで、道路を通過する車から4つすべてのセンサーをキャプチャする可能性は
車両の速度が低下します。

TPMSベースの追跡は特に危険です。理由は以下の通りです：

現在、センサーまたはホイール全体を交換する以外に、ドライバーのための実用的な防御はありません。これはコストがかかり、新しいIDが再度収集された場合、プライバシーを保証しません。

研究者は、自動車メーカーがTPMSの暗号化された回転識別子を採用する必要があり、規制当局がこれらのシステムを自動車サイバーセキュリティ標準で明確にカバーすべきであると主張しています。

それまで、トヨタ、メルセデス、および多くの他の主要ブランドのタイヤ圧力システムは、ほとんどのドライバーがネットワークに同意したことがない見えない常時追跡チャネルのままです。