Os sensores TPMS (sistema de monitoramento da pressão do pneu) foram ativamente estudados há muitos anos. Eles transmitem periodicamente a pressão do pneu, a temperatura e uma identificação exclusiva que pode ser usada para rastrear o veículo. Porém, há outro aspecto: os modernos sensores TMPS também possuem um receptor, que normalmente é usado para ligar a transmissão de dados quando um novo sensor TPMS aparece no carro ("procedimento de aprendizagem").
Na Europa, os sensores TPMS geralmente transmitem sinais na banda de 433 MHz (destinados a ISM - indústria, ciência e medicina). O receptor opera a 125 kHz, muito próximo ao RFID LF. A maneira mais fácil de usar o receptor é verificar a presença de uma portadora de 125 kHz e ativar a transmissão de dados. Os sensores modernos são geralmente mais avançados e usam uma portadora modulada contendo pacotes de comando; a transmissão de dados é habilitada somente se o comando correto for recebido.
Se você tiver um receptor, então, é claro, você não pode apenas habilitar a transferência de dados: por exemplo, ele pode suportar vários comandos, e alguns sensores até permitem que você atualize o firmware dessa forma.
Um desses comandos suportados é mudar o sensor para o modo "Remessa". Por que é necessário? Quando o sensor funciona normalmente, ele aguarda o movimento (há um sensor de aceleração / choque dentro dele) e começa a transmitir dados periodicamente apenas quando a roda está girando. Isso é para conservar a energia da bateria. Se o sensor TPMS ainda não estiver instalado no pneu, ele não deve reagir aos movimentos, portanto, o modo "Shipping" é usado. Nesse modo, o sensor é ativado apenas a cada poucos segundos e verifica se há um sinal de 125 kHz; se presente, o sensor verifica se há comandos válidos, por exemplo, um comando para habilitar a transmissão de dados, que geralmente também sai do modo de Envio e muda o sensor para operação normal.
Este modo de "Envio" pode ser abusado: se pudermos mudar o sensor TPMS da roda do carro para o modo "Envio", o sensor não será mais capaz de transmitir dados e depois de um tempo o indicador de monitoramento da pressão dos pneus acenderá. Aqui é necessário esclarecer: este indicador de advertência simplesmente incomoda o motorista, mas não afeta a segurança do carro, pois o sensor TMPS desativado não afeta a pressão dos pneus em si.
Decidi examinar vários sensores TPMS de carros diferentes para a possibilidade de tal desligamento. Escolhi sensores para carros BMW e Ford. É importante notar que este é provavelmente o caso de outros fabricantes de automóveis também, pois há um número limitado de fabricantes de sensores TPMS que fornecem sensores de vários fabricantes de veículos. A escolha da BMW e da Ford foi motivada pelo fato de que consegui encontrar vários sensores usados baratos para esses carros.
Além disso, procurei apenas sensores "OEM" para BMW e Ford; isso significa que esses sensores foram instalados pelo próprio fabricante do carro. Existem também sensores "universais", geralmente instalados por revendedores de pneus; há notas sobre eles no final do post.
Uma ferramenta para transmissão de dados a 125 kHz é bastante simples de criar: existe uma ferramenta de ativação barata para sensores TMPS EL-50448, que transmite apenas a frequência da portadora sem modulação. No entanto, o hardware pode ser facilmente modificado fornecendo modulação da portadora: na maioria das vezes para transmissão de dados, é usado OOK (On-Off Keying); isso significa que a operadora é simplesmente ligada e desligada. O EL-50448 usa um amplificador de potência com um pino de “ativação” não utilizado para gerar a portadora, portanto, você pode usar este pino para modular a portadora. A taxa de bauds é baixa, 3900 bauds geralmente são usados. A codificação Manchester de bits de dados mais comumente usada, ou seja, a frequência da portadora muda duas vezes mais (7.800 alterações por segundo). Não há nada de especial nisso e pode ser implementado, provavelmente,usando qualquer microcontrolador de sua preferência. O custo de tal sistema será inferior a 20 euros e o raio de transmissão será de aproximadamente 20 cm.
Como encontro o comando para ativar o modo de remessa? A verificação de força bruta de todos os comandos possíveis é aplicável apenas se o comando for curto. A razão para isso é que o transdutor procura um sinal de baixa frequência de 125 kHz a cada poucos segundos. Se o comando não tiver mais que dois bytes, então a força bruta é possível (levará vários dias), mas não é aplicável para comandos mais longos. Também é importante notar que você precisa encontrar uma maneira de reconhecer se o sensor TPMS está respondendo aos comandos enviados, por exemplo, monitorando o consumo de energia do sensor ou recebendo um sinal de dados de 433 MHz (claro, isso funcionará se o comando que você enviou causou a transferência de dados).
Outra opção é procurar as ferramentas TPMS que os revendedores de pneus e oficinas de reparo usam para testar os sensores TPMS. Algumas dessas ferramentas podem suportar a mudança do sensor TPMS para o modo de remessa.
Aqui estão os resultados que encontrei (para que os dados não possam ser usados para ações maliciosas, não vou entrar em detalhes):
- BMW:
Um sensor usado em muitos modelos de automóveis de passageiros e fabricado pelo fabricante do sensor TPMS "A" pode ser alternado para o modo "Frete". Um sensor TPMS desativado pode ser ativado com outro comando. Além disso, se o sensor detectar uma mudança rápida na pressão (por exemplo, quando o pneu está enchendo), o sensor sai do modo de envio. O comando tem quatro bytes de comprimento, então a força bruta não é aplicável. - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
Esses exemplos mostram que é possível, de fato, destruir aquele sensor específico emitindo o comando apropriado. Além disso, se o sensor estiver no modo “transmitir frequência portadora”, provavelmente ele está interferindo na operação do controlador de chaveiro do veículo, que usa a mesma frequência do sensor TPMS.
Para transmitir esses sinais de baixa frequência de 125 kHz, você precisa estar perto da máquina, mas leva apenas alguns segundos para detectar o sinal. Se você usar uma antena maior para o transmissor (que, na verdade, é uma bobina), por exemplo, que cabe em uma pasta, você pode aumentar o raio de transmissão para mais de um metro.
Como você pode evitar esses problemas? Na verdade é bastante simples - o comando para mudar para o modo "Shipping" não deve ser permitido se a pressão medida do pneu for maior que um determinado limite, pois isso significa que o sensor está instalado no pneu do veículo. O mesmo vale para comandos de sensor “B” de outros fabricantes, que provavelmente são algum tipo de teste de produção ou comandos de desenvolvimento. Observe também que durante meus testes, os comandos descritos puderam ser executados mesmo quando a pressão do pneu medida estava na faixa de uma roda de carro padrão.
Antes de publicar este artigo, entrei em contato com os fabricantes de automóveis (BMW e Ford). Aqui está o que resultou:
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
Observações sobre sensores “universais” comumente usados por revendedores de pneus: Esses sensores são “universais” porque podem ser programados para diferentes modelos de automóveis. Para um revendedor de pneus, o principal benefício de tais sensores é que é suficiente ter uma pequena variedade de sensores “universais” disponíveis e não é necessário comprar muitos sensores OEM diferentes para cada modelo de carro. Para programar esses sensores “universais”, um sinal de baixa frequência de 125 kHz é mais comumente usado para transmitir dados de programação para o sensor. Muitos desses sensores "universais" podem ser reprogramados independentemente da pressão dos pneus medida, portanto, a maneira mais fácil de realizar um ataque de negação de serviço é simplesmente reprogramar os sensores para um modelo de carro diferente.
Publicidade
Servidores com proteção DDoS gratuita - isso é sobre nós! Todos os servidores prontos para uso são protegidos contra ataques DDoS, crie sua própria configuração de servidor virtual com apenas alguns cliques.
