Los sensores TPMS (sistema de control de la presión de los neumáticos) se estudiaron activamente hace muchos años. Transmiten periódicamente la presión de los neumáticos, la temperatura y una identificación única que se puede utilizar para rastrear el vehículo. Sin embargo, hay otro aspecto: los sensores TMPS modernos también tienen un receptor, que generalmente se usa para activar la transmisión de datos cuando aparece un nuevo sensor TPMS en el automóvil ("procedimiento de aprendizaje").
En Europa, los sensores TPMS suelen transmitir señales en la banda de 433 MHz (dedicada a ISM: industria, ciencia y medicina). El receptor opera a 125 kHz, muy cerca de LF RFID. La forma más sencilla de utilizar el receptor es buscar la presencia de una portadora de 125 kHz y luego activar la transmisión de datos. Los sensores modernos suelen ser más avanzados y utilizan un portador modulado que contiene paquetes de comando; la transmisión de datos se habilita solo si se recibe el comando correcto.
Si tiene un receptor, entonces, por supuesto, no solo puede habilitar la transferencia de datos: por ejemplo, puede admitir varios comandos, y algunos sensores incluso le permiten actualizar el firmware de esta manera.
Uno de esos comandos admitidos es cambiar el sensor al modo "Envío". ¿Por qué es necesario? Cuando el sensor funciona normalmente, espera el movimiento (hay un sensor de aceleración / impacto en su interior) y comienza a transmitir datos periódicamente solo cuando la rueda está girando. Esto es para conservar la energía de la batería. Si el sensor TPMS aún no está instalado en el neumático, no debería reaccionar a los movimientos, por lo que se utiliza el modo "Envío". En este modo, el sensor se activa solo cada pocos segundos y busca una señal de 125 kHz; si está presente, el sensor verifica los comandos correctos, por ejemplo, un comando para habilitar la transmisión de datos, que generalmente también sale del modo de envío y cambia el sensor al funcionamiento normal.
Se puede abusar de este modo "Envío": si podemos cambiar el sensor TPMS de la rueda del automóvil al modo "Envío", el sensor ya no podrá transmitir datos y, después de un tiempo, el indicador de control de presión de los neumáticos se iluminará. Aquí es necesario aclarar: este indicador de advertencia simplemente molesta al conductor, pero no afecta la seguridad del automóvil, porque el sensor TMPS desactivado no afecta la presión de los neumáticos en sí.
Decidí examinar varios sensores TPMS de diferentes automóviles para detectar la posibilidad de tal apagado. Elegí sensores para automóviles BMW y Ford. Vale la pena señalar que este es también el caso de otros fabricantes de automóviles, ya que hay un número limitado de fabricantes de sensores TPMS que suministran sensores de varios fabricantes de vehículos. La elección de BMW y Ford fue impulsada por el hecho de que pude encontrar un montón de sensores usados baratos para estos autos.
Además, solo busqué sensores "OEM" para BMW y Ford; esto significa que estos sensores fueron instalados por el propio fabricante del automóvil. También hay sensores "universales", generalmente instalados por distribuidores de neumáticos; hay notas sobre ellos al final de la publicación.
Una herramienta para transmitir datos a 125 kHz es bastante simple de crear: existe una herramienta de activación barata para sensores TMPS EL-50448, que transmite solo la frecuencia portadora sin modulación. Sin embargo, el hardware se puede modificar fácilmente proporcionando modulación de la portadora: la mayor parte del tiempo para la transmisión de datos, se utiliza OOK (On-Off Keying); esto significa que el portador simplemente se enciende y apaga. El EL-50448 usa un amplificador de potencia con un pin de habilitación sin usar para generar la frecuencia de la portadora, por lo que puede usar este pin para modular la portadora. La velocidad en baudios es baja, a menudo se utilizan 3900 baudios. La codificación de bits de datos de Manchester más utilizada, es decir, la frecuencia de la portadora cambia el doble de frecuencia (7800 cambios por segundo). No hay nada especial en esto y se puede implementar, probablemente,utilizando el microcontrolador que prefiera. El costo de dicho sistema será de menos de 20 euros y el radio de transmisión será de aproximadamente 20 cm.
¿Cómo encuentro el comando para habilitar el modo de envío? La comprobación de fuerza bruta de todos los comandos posibles es aplicable solo si el comando es corto. La razón de esto es que el transductor busca una señal de baja frecuencia de 125 kHz cada pocos segundos. Si el comando no tiene más de dos bytes, entonces la fuerza bruta es posible (tomará varios días), pero no es aplicable para comandos más largos. También vale la pena señalar que debe encontrar una manera de reconocer si el sensor TPMS está respondiendo a los comandos que se envían, por ejemplo, monitoreando el consumo de energía del sensor o recibiendo una señal de datos de 433 MHz (por supuesto, esto funcionará si el comando que envió causó la transferencia de datos).
Otra opción es buscar las herramientas TPMS que utilizan los distribuidores de neumáticos y los talleres de reparación para probar los sensores TPMS. Algunas de estas herramientas pueden ayudar a cambiar el sensor TPMS al modo de envío.
Estos son los resultados que encontré (para que los datos no se puedan usar para acciones maliciosas, no entraré en detalles):
- BMW:
Un sensor utilizado en muchos modelos de vehículos de pasajeros y fabricado por el fabricante de sensores TPMS "A" se puede cambiar al modo "Envío". Un sensor TPMS desactivado se puede activar con otro comando. Además, si el sensor detecta un cambio rápido de presión (por ejemplo, cuando el neumático se está inflando), el sensor sale del modo "Envío". El comando tiene cuatro bytes de longitud, por lo que la fuerza bruta no es aplicable. - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
Estos ejemplos muestran que es posible, de hecho, destruir ese sensor en particular emitiendo el comando apropiado. Además, si el sensor está en el modo de "frecuencia portadora de transmisión", es probable que esté interfiriendo con el funcionamiento del controlador del llavero del vehículo, que usa la misma frecuencia que el sensor TPMS.
Estas señales de baja frecuencia de 125 kHz requieren una proximidad cercana a la máquina, pero solo se requieren unos pocos segundos para detectar la señal. Si utiliza una antena más grande para el transmisor (que, de hecho, es una bobina), por ejemplo, que cabe en un maletín, puede aumentar el radio de transmisión a más de un metro.
¿Cómo evitar estos problemas? En realidad, es bastante simple: no se debe permitir el comando para cambiar al modo "Envío" si la presión de los neumáticos medida es mayor que un cierto límite, porque esto significa que el sensor está instalado en el neumático del vehículo. Lo mismo ocurre con los comandos de sensor “B” de otros fabricantes, que probablemente sean algún tipo de prueba de producción o comandos de desarrollo. Tenga en cuenta también que durante mis pruebas, los comandos descritos podrían ejecutarse incluso cuando la presión medida de los neumáticos estaba en el rango de una rueda de automóvil estándar.
Antes de publicar este artículo, me comuniqué con los fabricantes de automóviles (BMW y Ford). Esto es lo que salió de ella:
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
Notas sobre los sensores "universales" que suelen utilizar los distribuidores de neumáticos: Estos sensores son "universales" porque se pueden programar para diferentes modelos de automóviles. Para un minorista de neumáticos, el principal beneficio de estos sensores es que es suficiente tener una pequeña gama de sensores “universales” disponibles y no es necesario comprar muchos sensores OEM diferentes para cada modelo de vehículo. La señal de 125 kHz de baja frecuencia más comúnmente utilizada para programar estos sensores "universales" es transmitir datos de programación al sensor. Muchos de estos sensores "universales" se pueden reprogramar independientemente de la presión medida de los neumáticos, por lo que la forma más fácil de llevar a cabo un ataque de denegación de servicio es simplemente reprogramar los sensores para un modelo de automóvil diferente.
Publicidad
Servidores con protección DDoS gratuita : ¡eso es sobre nosotros! Todos los servidores listos para usar están protegidos contra ataques DDoS, cree su propia configuración de servidor virtual en un par de clics.
