TPMS-Sensoren (Tire-Pressure Monitoring System) wurden vor vielen Jahren aktiv untersucht. Sie übertragen regelmäßig Reifendruck, Temperatur und einen eindeutigen Ausweis, der zur Verfolgung des Fahrzeugs missbraucht werden kann. Es gibt jedoch noch einen weiteren Aspekt: Moderne TMPS-Sensoren verfügen auch über einen Empfänger, der normalerweise zum Einschalten der Datenübertragung verwendet wird, wenn ein neuer TPMS-Sensor im Auto erscheint ("Lernverfahren").
In Europa übertragen TPMS-Sensoren normalerweise Signale im 433-MHz-Band (für ISM - Industrie, Wissenschaft und Medizin). Der Empfänger arbeitet mit 125 kHz, sehr nahe an LF RFID. Der einfachste Weg, den Empfänger zu verwenden, besteht darin, nach einem 125-kHz-Träger zu suchen und dann die Datenübertragung einzuschalten. Moderne Sensoren sind normalerweise weiter fortgeschritten und verwenden einen modulierten Träger, der Befehlspakete enthält. Die Datenübertragung ist nur aktiviert, wenn der richtige Befehl empfangen wird.
Wenn Sie einen Empfänger haben, können Sie natürlich nicht nur die Datenübertragung aktivieren, sondern auch verschiedene Befehle unterstützen. Bei einigen Sensoren können Sie sogar die Firmware auf diese Weise aktualisieren.
Einer dieser unterstützten Befehle besteht darin, den Sensor in den Versandmodus zu schalten. Warum wird es benötigt? Wenn der Sensor normal funktioniert, wartet er auf Bewegung (in ihm befindet sich ein Beschleunigungs- / Stoßsensor) und beginnt nur dann mit der periodischen Datenübertragung, wenn sich das Rad dreht. Dies dient dazu, Batteriestrom zu sparen. Wenn der TPMS-Sensor nicht bereits im Reifen installiert ist, sollte er nicht auf Bewegungen reagieren. Daher wird der Modus "Versand" verwendet. In diesem Modus wacht der Sensor nur alle paar Sekunden auf und sucht nach einem 125-kHz-Signal. Wenn vorhanden, prüft der Sensor auf korrekte Befehle, z. B. einen Befehl zum Aktivieren der Datenübertragung, der normalerweise auch den Versandmodus verlässt und den Sensor in den normalen Betrieb schaltet.
Dieser "Versand" -Modus kann missbraucht werden: Wenn wir den TPMS-Sensor des Autorades in den "Versand" -Modus schalten können, kann der Sensor keine Daten mehr übertragen, und nach einer Weile leuchtet die Reifendrucküberwachungsanzeige auf. Hier muss klargestellt werden: Diese Warnanzeige stört den Fahrer lediglich, beeinträchtigt jedoch nicht die Sicherheit des Fahrzeugs, da der deaktivierte TMPS-Sensor den Reifendruck selbst nicht beeinflusst.
Ich beschloss, mehrere TPMS-Sensoren von verschiedenen Autos auf die Möglichkeit einer solchen Abschaltung zu untersuchen. Ich habe Sensoren für BMW und Ford Autos gewählt. Es ist erwähnenswert, dass dies höchstwahrscheinlich auch für andere Automobilhersteller der Fall ist, da es eine begrenzte Anzahl von TPMS-Sensorherstellern gibt, die Sensoren von verschiedenen Fahrzeugherstellern liefern. Die Wahl von BMW und Ford wurde durch die Tatsache angetrieben, dass ich eine Reihe billiger gebrauchter Sensoren für diese Autos finden konnte.
Außerdem habe ich nur nach "OEM" -Sensoren für BMW und Ford gesucht; Dies bedeutet, dass diese Sensoren vom Automobilhersteller selbst installiert wurden. Es gibt auch "universelle" Sensoren, die normalerweise von Reifenhändlern installiert werden. Es gibt Notizen darüber am Ende des Beitrags.
Ein Tool zum Übertragen von Daten mit 125 kHz ist recht einfach zu erstellen: Es gibt ein billiges Aktivierungswerkzeug für TMPS EL-50448-Sensoren, das nur die Trägerfrequenz ohne Modulation überträgt. Die Hardware kann jedoch leicht modifiziert werden, indem eine Modulation des Trägers bereitgestellt wird: Meistens wird für die Datenübertragung OOK (On-Off Keying) verwendet; Dies bedeutet, dass der Träger einfach ein- und ausgeschaltet wird. Der EL-50448 verwendet einen Leistungsverstärker mit einem nicht verwendeten "Aktivierungs" -Pin, um den Träger zu erzeugen, sodass Sie diesen Pin verwenden können, um den Träger zu modulieren. Die Baudrate ist niedrig, 3900 Baud werden oft verwendet. Bei der am häufigsten verwendeten Manchester-Codierung von Datenbits ändert sich die Trägerfrequenz doppelt so häufig (7800 Änderungen pro Sekunde). Daran ist nichts Besonderes, und es kann wahrscheinlich implementiert werden,Verwenden Sie einen beliebigen Mikrocontroller, den Sie bevorzugen. Die Kosten für ein solches System betragen weniger als 20 Euro, und der Übertragungsradius beträgt ungefähr 20 cm.
Wie finde ich den Befehl zum Aktivieren des Versandmodus? Die Brute-Force-Überprüfung aller möglichen Befehle ist nur anwendbar, wenn der Befehl kurz ist. Der Grund dafür ist, dass der Wandler alle paar Sekunden nach einem niederfrequenten 125-kHz-Signal sucht. Wenn der Befehl nicht länger als zwei Bytes ist, ist Brute-Force möglich (dies dauert mehrere Tage), gilt jedoch nicht für längere Befehle. Es ist auch erwähnenswert, dass Sie einen Weg finden müssen, um zu erkennen, ob der TPMS-Sensor auf gesendete Befehle reagiert, z. B. die Überwachung des Stromverbrauchs des Sensors oder den Empfang eines 433-MHz-Datensignals (dies funktioniert natürlich, wenn der von Ihnen gesendete Befehl die Datenübertragung verursacht hat).
Eine andere Möglichkeit besteht darin, nach den TPMS-Tools zu suchen, mit denen Reifenhändler und Reparaturwerkstätten TPMS-Sensoren testen. Einige dieser Tools unterstützen möglicherweise das Umschalten des TPMS-Sensors in den Versandmodus.
Hier sind die Ergebnisse, die ich gefunden habe (damit die Daten nicht für böswillige Aktionen verwendet werden können, werde ich nicht auf Details eingehen):
- BMW:
Ein Sensor, der in vielen Pkw-Modellen verwendet wird und vom TPMS-Sensorhersteller "A" hergestellt wird, kann in den "Versand" -Modus geschaltet werden. Ein deaktivierter TPMS-Sensor kann mit einem anderen Befehl aktiviert werden. Wenn der Sensor eine schnelle Druckänderung feststellt (z. B. wenn der Reifen aufgepumpt ist), verlässt der Sensor den Modus "Versand". Der Befehl ist vier Bytes lang, daher ist Brute-Force nicht anwendbar. - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
Diese Beispiele zeigen, dass es tatsächlich möglich ist, diesen bestimmten Sensor durch Ausgabe des entsprechenden Befehls zu zerstören. Befindet sich der Sensor im Modus „Sendeträgerfrequenz“, beeinträchtigt dies wahrscheinlich den Betrieb des Schlüsselanhänger-Controllers des Fahrzeugs, der dieselbe Frequenz wie der TPMS-Sensor verwendet.
Diese niederfrequenten 125-kHz-Signale erfordern eine unmittelbare Nähe zur Maschine, aber nur wenige Sekunden, um das Signal zu erkennen. Wenn Sie beispielsweise eine größere Antenne für den Sender verwenden (bei der es sich tatsächlich um eine Spule handelt), die in eine Aktentasche passt, können Sie den Übertragungsradius auf mehr als einen Meter erhöhen.
Wie vermeide ich solche Probleme? Es ist eigentlich ganz einfach - der Befehl, in den "Versand" -Modus zu wechseln, sollte nicht zulässig sein, wenn der gemessene Reifendruck einen bestimmten Grenzwert überschreitet, da dies bedeutet, dass der Sensor im Reifen des Fahrzeugs installiert ist. Gleiches gilt für die Sensorbefehle anderer Hersteller „B“, bei denen es sich höchstwahrscheinlich um Produktionstests oder Entwicklungsbefehle handelt. Beachten Sie auch, dass während meiner Tests die beschriebenen Befehle ausgeführt werden konnten, selbst wenn der gemessene Reifendruck im Bereich eines Standard-Autorades lag.
Vor der Veröffentlichung dieses Artikels habe ich mich an die Autohersteller (BMW und Ford) gewandt. Folgendes ist daraus geworden:
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
Hinweise zu "universellen" Sensoren, die üblicherweise von Reifenhändlern verwendet werden: Diese Sensoren sind "universell", da sie für verschiedene Automodelle programmiert werden können. Für einen Reifenhändler besteht der Hauptvorteil solcher Sensoren darin, dass es ausreicht, eine kleine Auswahl an „universellen“ Sensoren zur Verfügung zu haben und nicht für jedes Automodell viele verschiedene OEM-Sensoren kaufen zu müssen. Das am häufigsten verwendete niederfrequente 125-kHz-Signal zum Programmieren dieser „universellen“ Sensoren ist das Übertragen von Programmierdaten an den Sensor. Viele dieser "universellen" Sensoren können unabhängig vom gemessenen Reifendruck neu programmiert werden. Der einfachste Weg, einen Denial-of-Service-Angriff durchzuführen, besteht darin, die Sensoren einfach für ein anderes Automodell neu zu programmieren.
Werbung
Server mit kostenlosem DDoS-Schutz - das sind wir! Alle sofort einsatzbereiten Server sind vor DDoS-Angriffen geschützt. Erstellen Sie mit wenigen Klicks Ihre eigene virtuelle Serverkonfiguration.
