TPMS(タイヤ圧監視システム)センサーは、何年も前に活発に研究されてきました。タイヤの圧力、温度、および車両の追跡に悪用される可能性のある一意のIDを定期的に送信します。ただし、別の側面があります。最新のTMPSセンサーにはレシーバーもあり、通常、新しいTPMSセンサーが車に現れたときにデータ送信をオンにするために使用されます(「学習手順」)。
ヨーロッパでは、TPMSセンサーは通常433 MHz帯域で信号を送信します(ISMを対象としています-産業、科学、医学)。受信機は125kHzで動作し、LFRFIDに非常に近いです。受信機を使用する最も簡単な方法は、125 kHzのキャリアの存在を探してから、データ送信をオンにすることです。最新のセンサーは通常、より高度で、コマンドパケットを含む変調されたキャリアを使用します。データ送信は、正しいコマンドが受信された場合にのみ有効になります。
レシーバーがある場合は、もちろん、データ転送を有効にするだけでなく、たとえば、さまざまなコマンドをサポートできます。一部のセンサーでは、この方法でファームウェアを更新することもできます。
サポートされているそのようなコマンドの1つは、センサーを「出荷」モードに切り替えることです。なぜそれが必要なのですか?センサーが通常の方法で動作する場合、センサーは動きを待ち(内部に加速/衝撃センサーがあります)、ホイールが回転しているときにのみ定期的にデータの送信を開始します。これは、バッテリーの電力を節約するためです。 TPMSセンサーがまだタイヤに取り付けられていない場合は、動きに反応しないため、「出荷」モードが使用されます。このモードでは、センサーは数秒ごとにウェイクアップし、125kHzの信号をチェックします。存在する場合、センサーは正しいコマンド、たとえばデータ送信を有効にするコマンドをチェックします。これは通常、出荷モードを終了し、センサーを通常の操作に切り替えます。
この「配送」モードは悪用される可能性があります。車のホイールのTPMSセンサーを「配送」モードに切り替えることができると、センサーはデータを送信できなくなり、しばらくするとタイヤ圧力監視インジケーターが点灯します。ここで明確にする必要があります。この警告インジケータは単にドライバーを悩ませますが、無効にされたTMPSセンサーはタイヤの圧力自体に影響を与えないため、車の安全性には影響しません。
このようなシャットダウンの可能性について、さまざまな車のいくつかのTPMSセンサーを調べることにしました。 BMWとフォードの車用のセンサーを選びました。さまざまな自動車メーカーからセンサーを供給しているTPMSセンサーメーカーの数は限られているため、これは他の自動車メーカーにも当てはまる可能性が高いことは注目に値します。 BMWとフォードの選択は、私がこれらの車用の安価な中古センサーをたくさん見つけることができたという事実によって推進されました。
また、BMWとフォード用の「OEM」センサーのみを探しました。これは、これらのセンサーが自動車メーカー自身によって設置されたことを意味します。通常はタイヤディーラーによって設置される「ユニバーサル」センサーもあります。投稿の最後にそれらについてのメモがあります。
125 kHzでデータを送信するためのツールは、作成が非常に簡単です。TMPSEL-50448センサー用の安価なアクティベーションツールがあり、変調なしでキャリア周波数のみを送信します。ただし、キャリアの変調を提供することにより、ハードウェアを簡単に変更できます。ほとんどの場合、データ送信にはOOK(オンオフキーイング)が使用されます。これは、キャリアが単にオンとオフになることを意味します。 EL-50448は、未使用の「イネーブル」ピンを備えたパワーアンプを使用してキャリアを生成するため、このピンを使用してキャリアを変調できます。ボーレートは低く、3900ボーがよく使用されます。データビットの最も一般的に使用されるマンチェスターコーディング、つまり、キャリア周波数は2倍の頻度で変化します(1秒あたり7800の変化)。これについて特別なことは何もありません、そしてそれはおそらく実装することができます好みのマイクロプロセッサを使用します。このようなシステムのコストは20ユーロ未満で、伝送半径は約20cmになります。
配送モードを有効にするコマンドを見つけるにはどうすればよいですか?可能なすべてのコマンドを強制的にチェックすることは、コマンドが短い場合にのみ適用できます。これは、トランスデューサが数秒ごとに低周波数の125kHz信号を探すためです。コマンドが2バイト以下の場合、ブルートフォースは可能です(数日かかります)が、それより長いコマンドには適用されません。また、TPMSセンサーが送信されたコマンドに応答しているかどうかを認識する方法を見つける必要があることにも注意してください。たとえば、センサーの消費電力の監視や433 MHzのデータ信号の受信などです(もちろん、送信したコマンドによってデータ転送が発生した場合、これは機能します)。
もう1つのオプションは、タイヤディーラーや修理店がTPMSセンサーのテストに使用するTPMSツールを探すことです。これらのツールの一部は、TPMSセンサーの出荷モードへの切り替えをサポートしている場合があります。
私が見つけた結果は次のとおりです(データが悪意のあるアクションに使用されないようにするため、詳細には触れません)。
- BMW:
多くの乗用車モデルで使用され、TPMSセンサーメーカー「A」によって製造された1つのセンサーは、「出荷」モードに切り替えることができます。非アクティブ化されたTPMSセンサーは、別のコマンドでアクティブ化できます。さらに、センサーが圧力の急激な変化を検出すると(たとえば、タイヤが膨らんでいるとき)、センサーは「出荷」モードを終了します。コマンドの長さは4バイトであるため、brute-forceは適用されません。 - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
これらの例は、実際には、適切なコマンドを発行することによってその特定のセンサーを破壊することが可能であることを示しています。さらに、センサーが「送信キャリア周波数」モードの場合、TPMSセンサーと同じ周波数を使用する車両のキーフォブコントローラーの動作を妨害している可能性があります。
これらの低周波125kHz信号は、マシンに近接している必要がありますが、信号を検出するのに数秒しか必要ありません。たとえば、ブリーフケースに収まる大きなアンテナ(実際にはコイル)を送信機に使用する場合は、送信半径を1メートル以上に増やすことができます。
どうすればそのような問題を回避できますか?実際には非常に簡単です。測定されたタイヤ圧力が特定の制限を超えている場合、「出荷」モードに切り替えるコマンドは許可されるべきではありません。これは、センサーが車両のタイヤに取り付けられていることを意味します。同じことが他のメーカーの「B」センサーコマンドにも当てはまります。これらはおそらく、ある種の生産テストまたは開発コマンドです。また、私のテストでは、測定されたタイヤ圧力が標準の車のホイールの範囲内にある場合でも、説明されているコマンドを実行できることにも注意してください。
この記事を公開する前に、私は自動車メーカー(BMWとFord)に連絡しました。これがその結果です。
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
タイヤディーラーが一般的に使用する「ユニバーサル」センサーに関する注記:これらのセンサーは、さまざまな車種にプログラムできるため、「ユニバーサル」です。タイヤ小売業者にとって、このようなセンサーの主な利点は、利用可能な「ユニバーサル」センサーの範囲が狭く、車両モデルごとに多くの異なるOEMセンサーを購入する必要がないことです。これらの「汎用」センサーをプログラムするための低周波数125kHz信号の最も一般的な使用法は、プログラミングデータをセンサーに送信することです。これらの「ユニバーサル」センサーの多くは、測定されたタイヤ圧力に関係なく再プログラムできるため、サービス拒否攻撃を実行する最も簡単な方法は、別の車種のセンサーを再プログラムすることです。
広告
無料のDDoS保護を備えたサーバー-それは私たちのことです!箱から出してすぐに使用できるすべてのサーバーはDDoS攻撃から保護されており、数回クリックするだけで独自の仮想サーバー構成を作成できます。
