Lastik Etiketleri Bulunduğu Her Yerde

Rutgers Üniversitesi ve Güney Carolina Üniversitesi'nden araştırmacılar kablosuz olarak Yeni otomobiller ve bunların lastikleri arasındaki iletişimler engellenebilir veya hatta taklit edilebilir.

Kötüye kullanım olasılığı en aza indirilebilse de, bu güvenlik açığı yeni otomobiller için güvenli yazılım geliştirme ile sorunlu bir sıkıntıya işaret ediyor, bilgisayar bilimi Wenyuan Xu Güney Carolina Üniversitesinde yardımcı profesör olarak çalışmanın ortak bir üyesiydi.

"Hiç kimse [bu tür kusurlardan] bahsetmezse, o zaman güvenlikten rahatsız olmazlar" dedi Xu.

[Ayrıca okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?]

Araştırmacılar bulgularını Washington DC'de bu hafta düzenlenen Usenix Güvenlik Sempozyumu'nda sunacaklar.

Araştırmacıların test ettikleri sistemin, Bir otomobil üzerinde ch lastik. ABD, 2008 yılından bu yana, yeni otomobillerde böyle bir sisteme ihtiyaç duyuyordu. 2000 yılında olası arızalı Firestone lastikleri üzerinde tartışmaların patlak vermesinden sonra ortaya çıkan yasalar sayesinde. Avrupa Birliği, 2012 yılına kadar yeni otomobillerin benzer izleme sistemlerine sahip olmasını gerektirecek.

Bilgisayarlı sistemler olarak. otomobillerde gittikçe artan bir şekilde kullanılıyor, Xu gibi eleştirmenler, sistem üreticilerinin bu tür sistemlerdeki güvenlik açıklarını önlemek için ne tür güvenlik önlemleri uyguladıklarını soruyorlar, hataların ve güvenlik deliklerinin sürekli olarak tüm yazılımlara sızdıklarını biliyorlar.

Toyota ABD'nin denetimine girdi. Bu yılın başlarında yasa yapıcılar, araba üreticisine yazılım hatalarının araçlarının gözetimsiz ivme kazanmasının bir nedeni olabileceğini sordular, Toyota yetkilileri suçladılar.

Bu tür sistemlerle, insanlar sadece işleri yapmaya çalışırlar. tasarımın ilk çalışması sırasında güvenliği veya gizliliği umursamıyorlar, "dedi Xu.

Lastik basıncı izleme sistemleri (TPMS) batarya ile çalışan radyo frekansından oluşuyor Her bir lastik üzerinde, bir elektronik kontrol ünitesi (ECU) tarafından kablosuz olarak sorgulandığında, lastiğin hava basıncı okumalarına cevap verebilen bir kimlik belirleme (RFID) etiketi.

Araştırmacılar, her bir sensörün kendine özgü bir 32-bit kimliğine sahip olduğunu bulmuşlardır. ve etiket ile kontrol ünitesi arasındaki iletişimin şifrelenmemiş olması, yani 40 metreye kadar uzaktaki üçüncü şahıslar tarafından ele geçirilebileceği anlamına geliyor.

"Sensör kimlikleri yol kenarı izleme noktalarında yakalandıysa ve veritabanlarında saklandıysa, üçüncü taraflar Şoförün tıbbi klinikler, siyasi toplantılar veya gece kulüpleri gibi potansiyel olarak hassas yerleri ziyaret ettiğini kanıtlayabilir veya kanıtlayabilir, "araştırmacılar, sunumla birlikte gönderilen bir makalede yazıyorlar.

Böyle mesajlar da yapılabilir. Araştırmacılar, bir saldırganın, uyarı ışığını sürekli tekrarlayan düşük basınç okumaları ile kontrol ünitesine sıçraması, sürücünün sensör okumalarına güvenmesini sağladı. Saldırgan, üniteyi kafa karıştırıcı veya muhtemelen kırmak için kontrol ünitesine saçma sapan mesajlar gönderebilirdi.

"TPMS kontrol ünitesini açıkça imkansız olan okumaları göstermeye ikna etmenin mümkün olduğunu gözlemledik" diye yazıyor araştırmacılar. Bir vakada, araştırmacılar kontrol ünitesini o kadar kötü bir şekilde etkilemişti ki, yeniden başlatmadan sonra bile düzgün bir şekilde çalışamayacaktı ve satıcı tarafından değiştirilecekti.

Xu, birisini lastikleriyle takip etmenin mümkün olduğunu söyledi. Kimlikler, bunu yapmanın fizibilitesi oldukça düşük olacaktır. “Birisi farklı yerlerde alıcıları koymak için para yatırmak zorunda kalacak” dedi. Ayrıca, birçok lastik üreticisi farklı alıcılara ihtiyaç duyan farklı sensör tiplerine sahiptir. Araştırmacılar, bu testteki her alıcının 1,500 ABD dolarına malolur.

Bununla birlikte, bileşen üreticileri bu sistemlerin güvenliğini güçlendirmek için bazı kolay adımlar atabilirler. İletişim şifrelenebilir. Ayrıca, ECU gelen mesajları filtrelemeli, böylece beklenmedik yükler ortadan kaldırılmalı, böylece sistemi bozmazlar.

Xu, "Tüketici, otomobillerini güvenli hale getirmek için birkaç dolar ödemeye istekli olabilir," dedi.

Joab Jackson, IDG Haber Servisi için kurumsal yazılım ve genel haber kırma haberlerini kapsamaktadır. @Joab_Jackson'da Twitter'dan Joab'ı takip edin. Joab'ın e-posta adresi [email protected]