Les capteurs TPMS (système de surveillance de la pression des pneus) ont été activement étudiés il y a de nombreuses années. Ils transmettent périodiquement la pression des pneus, la température et un identifiant unique qui peuvent être utilisés abusivement pour suivre le véhicule. Cependant, il y a un autre aspect: les capteurs TMPS modernes ont également un récepteur, qui est généralement utilisé pour déclencher la transmission de données lorsqu'un nouveau capteur TPMS apparaît dans la voiture («procédure d'apprentissage»).
En Europe, les capteurs TPMS transmettent généralement des signaux dans la bande 433 MHz (destinés à l'ISM - industrie, science et médecine). Le récepteur fonctionne à 125 kHz, très proche de la RFID LF. La manière la plus simple d'utiliser le récepteur est de rechercher la présence d'une porteuse à 125 kHz, puis d'activer la transmission de données. Les capteurs modernes sont généralement plus avancés et utilisent une porteuse modulée contenant des paquets de commande; la transmission de données n'est activée que si la commande correcte est reçue.
Si vous avez un récepteur, alors, bien sûr, vous pouvez non seulement activer le transfert de données: par exemple, il peut prendre en charge diverses commandes, et certains capteurs vous permettent même de mettre à jour le micrologiciel de cette manière.
L'une de ces commandes prises en charge consiste à faire passer le capteur en mode «Expédition». Pourquoi est-ce nécessaire? Lorsque le capteur fonctionne de la manière habituelle, il attend le mouvement (il y a un capteur d'accélération / de choc à l'intérieur) et commence à transmettre périodiquement des données uniquement lorsque la roue tourne. C'est pour économiser l'énergie de la batterie. Si le capteur TPMS n'est pas déjà installé dans le pneu, il ne doit pas réagir aux mouvements, c'est pourquoi le mode «Expédition» est utilisé. Dans ce mode, le capteur ne se réveille que toutes les quelques secondes et recherche un signal de 125 kHz; s'il est présent, le capteur vérifie les commandes valides, par exemple, une commande pour activer la transmission de données, qui généralement quitte également le mode d'expédition et fait passer le capteur en fonctionnement normal.
Ce mode «Expédition» peut être abusé: si nous pouvons passer le capteur TPMS de la roue de voiture en mode «Expédition», le capteur ne pourra plus transmettre de données, et après un certain temps l'indicateur de surveillance de la pression des pneus s'allumera. Ici, il est nécessaire de clarifier: cet indicateur d'avertissement dérange simplement le conducteur, mais n'affecte pas la sécurité de la voiture, car le capteur TMPS désactivé n'affecte pas la pression des pneus elle-même.
J'ai décidé d'examiner plusieurs capteurs TPMS de différentes voitures pour la possibilité d'un tel arrêt. J'ai choisi des capteurs pour les voitures BMW et Ford. Il convient de noter que c'est très probablement le cas pour d'autres constructeurs automobiles, car il existe un nombre limité de fabricants de capteurs TPMS qui fournissent des capteurs de divers constructeurs automobiles. Le choix de BMW et Ford a été motivé par le fait que j'ai pu trouver un tas de capteurs d'occasion bon marché pour ces voitures.
De plus, je n'ai recherché que des capteurs "OEM" pour BMW et Ford; cela signifie que ces capteurs ont été installés par le constructeur automobile lui-même. Il existe également des capteurs «universels», généralement installés par des revendeurs de pneus; il y a des notes à leur sujet à la fin du post.
Un outil de transmission de données à 125 kHz est assez simple à créer: il existe un outil d'activation bon marché pour les capteurs TMPS EL-50448, qui ne transmet que la fréquence porteuse sans modulation. Cependant, le matériel peut être facilement modifié en fournissant une modulation de la porteuse: la plupart du temps pour la transmission de données, OOK (On-Off Keying) est utilisé; cela signifie que le support est simplement allumé et éteint. L'EL-50448 utilise un amplificateur de puissance avec une broche «d'activation» inutilisée pour générer la porteuse, vous pouvez donc utiliser cette broche pour moduler la porteuse. Le débit en bauds est faible, 3900 bauds sont souvent utilisés. Le codage Manchester le plus couramment utilisé des bits de données, c'est-à-dire que la fréquence porteuse change deux fois plus souvent (7800 changements par seconde). Il n'y a rien de spécial à ce sujet, et il peut être implémenté, probablement,en utilisant le microcontrôleur que vous préférez. Le coût d'un tel système sera inférieur à 20 euros, et le rayon de transmission sera d'environ 20 cm.
Comment trouver la commande permettant d'activer le mode d'expédition? La vérification par force brute de toutes les commandes possibles n'est applicable que si la commande est courte. La raison en est que le transducteur recherche un signal basse fréquence de 125 kHz toutes les quelques secondes. Si la commande ne dépasse pas deux octets, la force brute est possible (cela prendra plusieurs jours), mais elle n'est pas applicable pour les commandes plus longues. Il convient également de noter que vous devez trouver un moyen de reconnaître si le capteur TPMS répond aux commandes envoyées, par exemple, en surveillant la consommation d'énergie du capteur ou en recevant un signal de données de 433 MHz (bien sûr, cela fonctionnera si la commande que vous avez envoyée a provoqué le transfert de données).
Une autre option consiste à rechercher les outils TPMS que les revendeurs de pneus et les ateliers de réparation utilisent pour tester les capteurs TPMS. Certains de ces outils peuvent prendre en charge la commutation du capteur TPMS en mode expédition.
Voici les résultats que j'ai trouvés (pour que les données ne puissent pas être utilisées pour des actions malveillantes, je n'entrerai pas dans les détails):
- BMW:
Un capteur utilisé dans de nombreux modèles de voitures particulières et fabriqué par le fabricant de capteurs TPMS «A» peut être commuté en mode «Expédition». Un capteur TPMS désactivé peut être activé avec une autre commande. De plus, si le capteur détecte un changement rapide de pression (par exemple, lorsque le pneu se gonfle), alors le capteur sort du mode «Expédition». La commande fait quatre octets, donc la force brute n'est pas applicable. - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
Ces exemples montrent qu'il est possible, en fait, de détruire ce capteur particulier en émettant la commande appropriée. De plus, si le capteur est en mode «fréquence porteuse d'émission», il interfère probablement avec le fonctionnement de la télécommande porte-clés du véhicule, qui utilise la même fréquence que le capteur TPMS.
Ces signaux basse fréquence de 125 kHz nécessitent une proximité étroite de la machine, mais seulement quelques secondes sont nécessaires pour détecter le signal. Si vous utilisez une antenne plus grande pour l'émetteur (qui, en fait, est une bobine), par exemple, qui tient dans une mallette, vous pouvez augmenter le rayon de transmission à plus d'un mètre.
Comment éviter de tels problèmes? C'est en fait assez simple - la commande de passer en mode «Expédition» ne devrait pas être autorisée si la pression mesurée du pneu est supérieure à une certaine limite, car cela signifie que le capteur est installé dans le pneu du véhicule. Il en va de même pour les autres commandes de capteur «B» du fabricant, qui sont très probablement des commandes de test de production ou de développement. Notez également que lors de mes tests, les commandes décrites pouvaient être exécutées même lorsque la pression de pneu mesurée était dans la plage d'une roue de voiture standard.
Avant de publier cet article, j'ai contacté les constructeurs automobiles (BMW et Ford). Voici ce qui en est sorti:
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
Remarques sur les capteurs «universels» couramment utilisés par les revendeurs de pneus: Ces capteurs sont «universels» car ils peuvent être programmés pour différents modèles de voitures. Pour un détaillant de pneus, le principal avantage de ces capteurs est qu'il suffit de disposer d'un petit assortiment de capteurs «universels» et qu'il n'est pas nécessaire d'acheter de nombreux capteurs OEM différents pour chaque modèle de véhicule. Le signal basse fréquence 125 kHz le plus couramment utilisé pour programmer ces capteurs «universels» est de transmettre des données de programmation au capteur. Beaucoup de ces capteurs «universels» peuvent être reprogrammés quelle que soit la pression mesurée des pneus. Le moyen le plus simple de mener une attaque par déni de service consiste simplement à reprogrammer les capteurs pour un modèle de voiture différent.
La publicité
Serveurs avec protection DDoS gratuite - c'est à propos de nous! Tous les serveurs prêts à l'emploi sont protégés contre les attaques DDoS, créez votre propre configuration de serveur virtuel en quelques clics.
