Ban Tag Mengungkapkan Penggerak Keberadaan

Peneliti dari Universitas Rutgers dan Universitas South Carolina telah menemukan bahwa nirkabel komunikasi antara mobil baru dan ban mereka dapat disadap atau bahkan dipalsukan.

Sementara potensi penyalahgunaan mungkin minimal, kerentanan ini menunjukkan kurangnya ketelitian yang mengganggu dengan pengembangan perangkat lunak yang aman untuk mobil baru, kata Wenyuan Xu, ilmu komputer. asisten profesor di University of South Carolina, yang ikut memimpin studi ini.

"Jika tidak ada yang menyebut [kekurangan semacam itu], maka mereka tidak akan mengganggu keamanan," kata Xu.

membaca: Bagaimana cara menghapus malware dari PC Windows Anda]

Para peneliti akan mempresentasikan temuan mereka di Usenix Security Symposium, yang diadakan minggu ini di Washington DC

Sistem yang diuji para peneliti memonitor tekanan udara ea ban ch pada mobil. AS telah mewajibkan sistem semacam itu dalam mobil baru sejak 2008, berkat undang-undang yang disahkan setelah kontroversi meletus atas kemungkinan ban Firestone yang rusak pada tahun 2000. Uni Eropa akan membutuhkan mobil baru untuk memiliki sistem pemantauan yang sama pada tahun 2012.

Sebagai sistem komputerisasi sedang semakin banyak digunakan dalam mobil, kritikus seperti Xu menanyakan apa yang dibuat oleh pembuat sistem perlindungan untuk mencegah kerentanan dalam sistem tersebut, mengetahui bahwa bug dan lubang keamanan selalu menyelinap ke semua perangkat lunak.

Toyota berada di bawah pengawasan AS. pembuat hukum awal tahun ini, yang bertanya kepada pembuat mobil apakah bug perangkat lunak bisa menjadi alasan untuk akselerasi tanpa pengawasan kendaraannya, tuduhan yang ditolak oleh pejabat Toyota.

Dengan sistem seperti itu, "orang-orang hanya mencoba untuk membuat hal-hal bekerja terlebih dahulu, dan mereka tidak peduli tentang keamanan atau privasi selama menjalankan desain pertama, "kata Xu.

Sistem pemantauan tekanan ban (TPMS) terdiri dari frekuensi radio bertenaga baterai Identitas Identitas (RFID) tag pada setiap ban, yang dapat merespon dengan pembacaan tekanan udara dari ban ketika ditanya secara nirkabel oleh unit kontrol elektronik (ECU).

Para peneliti telah menemukan bahwa setiap sensor memiliki ID 32-bit yang unik dan bahwa komunikasi antara tag dan unit kontrol tidak dienkripsi, yang berarti dapat disadap oleh pihak ketiga dari sejauh 40 meter.

"Jika ID sensor ditangkap di titik-titik pelacakan di pinggir jalan dan disimpan dalam database, pihak ketiga dapat menyimpulkan atau membuktikan bahwa pengemudi telah mengunjungi lokasi yang berpotensi sensitif seperti klinik medis, pertemuan politik, atau klub malam, "para peneliti menulis, dalam sebuah makalah yang menyertai presentasi.

Pesan seperti itu juga dapat dipalsukan. Seorang penyerang dapat membanjiri unit kontrol dengan pembacaan tekanan rendah yang akan berulang kali memicu lampu peringatan, menyebabkan pengemudi kehilangan kepercayaan pada pembacaan sensor, para peneliti berpendapat. Seorang penyerang juga bisa mengirim pesan tidak masuk akal ke unit kontrol, membingungkan atau bahkan mungkin melanggar unit.

"Kami telah mengamati bahwa adalah mungkin untuk meyakinkan unit kontrol TPMS untuk menampilkan pembacaan yang jelas tidak mungkin," tulis para peneliti. Dalam satu kasus, para peneliti telah mengacaukan unit kontrol sangat buruk sehingga tidak bisa lagi beroperasi dengan baik, bahkan setelah reboot, dan harus diganti oleh dealer.

Xu mengatakan bahwa sementara itu mungkin untuk melacak seseorang dengan ban mereka ID, kelayakan melakukannya akan sangat rendah. "Seseorang harus menginvestasikan uang untuk menempatkan penerima di berbagai lokasi," katanya. Juga beberapa produsen ban memiliki berbagai jenis sensor, yang membutuhkan penerima yang berbeda. Setiap penerima dalam pengujian ini berharga US $ 1.500.

Meskipun begitu, produsen komponen dapat mengambil beberapa langkah mudah untuk memperkuat keamanan sistem ini, para peneliti menyimpulkan. Komunikasi dapat dienkripsi. Juga ECU harus menyaring pesan masuk sehingga setiap dengan muatan tak terduga harus dibuang, sehingga mereka tidak merusak sistem.

"Konsumen mungkin bersedia membayar beberapa dolar untuk membuat mobil mereka aman," kata Xu.

Joab Jackson mencakup perangkat lunak perusahaan dan berita teknologi umum untuk The IDG News Service. Ikuti Joab di Twitter di @Joab_Jackson. Alamat e-mail Joab adalah [email protected]