Системи контролю тиску в шинах (TPMS — Tire Pressure Monitoring System), які в США, ЄС та низці інших країн вже стали обов’язковим елементом безпеки для нових автомобілів, виявилися несподіваним джерелом ризиків для конфіденційності. Міжнародна група дослідників з Іспанії, Швейцарії та Люксембургу показала, що навіть дешеве радіообладнання вздовж доріг достатньо, щоб побудувати масштабну систему прихованого моніторингу транспортних засобів.
Як працює TPMS і в чому її кіберзагроза
Суть TPMS полягає в постійному контролі тиску в шинах та передачі виміряних значень на бортовий комп’ютер. У кожне колесо вбудований датчик з радіопередавачем, який періодично надсилає службові пакети з інформацією про тиск, температуру та унікальний ідентифікатор датчика.
Критична проблема, на яку звернули увагу дослідники: радіоповідомлення TPMS передаються у відкритому вигляді, без шифрування та без аутентифікації, а ідентифікатор датчика є постійним і незмінним протягом усього строку служби. Це означає, що кожен автомобіль фактично транслює свій «радіопідпис», за яким його можна однозначно розпізнати на будь-якій ділянці дороги, де встановлено приймач.
Експеримент: як недорога SDR-інфраструктура дозволяє стежити за авто
У рамках дослідження було розгорнуто мережу з п’яти приймачів на базі програмно-визначуваного радіо (SDR — Software Defined Radio) вартістю приблизно 100 доларів США кожен. Пристрої розмістили вздовж основних транспортних артерій та збирали трафік TPMS протягом десяти тижнів.
За цей час система перехопила понад 6 мільйонів повідомлень TPMS приблизно від 20 000 автомобілів. Оскільки ідентифікатори датчиків незмінні, дослідники змогли пов’язати окремі сигнали з конкретними транспортними засобами й відновити їхні типові маршрути, час появи в певних зонах та частоту поїздок.
Які дані про водія можна витягти з трафіку TPMS
Попри те, що TPMS передає лише технічну телеметрію, її достатньо для непрямої ідентифікації автомобіля та власника. На основі зібраних пакетів дослідники продемонстрували можливість отримати:
- факт присутності конкретного авто у визначеній локації у конкретний час;
- орієнтовний тип і масу транспортного засобу за профілем тиску та характеристиками шин;
- елементи стилю керування — за динамікою змін тиску під час розгону, гальмування й маневрування;
- набір регулярних маршрутів, типові місця відвідування та розклад поїздок власника.
Якщо поєднати такі радіодані з іншими джерелами (камери розпізнавання номерів, дані платних доріг, Wi‑Fi-мережі, комерційні бази реєстрації транспортних засобів), точність профілювання конкретного водія значно зростає. У результаті з’являється можливість відтворити детальну картину переміщень людини у часі.
Можливі сценарії атак і зловживань на основі TPMS
Масове й точкове стеження за автомобілями
Інфраструктура на базі TPMS легко масштабується: достатньо додати нові SDR-приймачі на в’їздах до міста, при великих парковках, біля бізнес-центрів, ТРЦ та офісних кластерів. Після зв’язування TPMS-ID з конкретним власником зловмисник або недобросовісний оператор може:
- відстежувати щоденні маршрути та робочий/особистий графік людини;
- виявляти «точки інтересу» — місце проживання, роботи, постійні місця відпочинку чи навчання;
- аналізувати періоди, коли власник переважно відсутній удома;
- організовувати цільове стеження за окремим автомобілем у реальному часі.
Активні втручання: спуфінг сигналів та вимагання
Відсутність аутентифікації датчиків створює передумови не лише для пасивного прослуховування, а й для активних атак на TPMS. З технічної точки зору можливий спуфінг — підміна справжніх радіопакетів підробленими, які бортова система сприймає як легітимні.
Такі підроблені повідомлення можуть викликати фальшиві попередження про критично низький тиск чи «прокол» шини. В сегменті вантажних перевезень це створює вікно можливостей для атак на логістичні компанії: водія можна змусити зупинитися у заздалегідь обраному, потенційно небезпечному місці з подальшими ризиками крадіжки вантажу або вимагання.
Що мають змінити автовиробники в захисті TPMS
TPMS проєктувалася як система безпеки для зниження аварійності, однак аспект захисту персональних даних та кібербезпеки майже не був врахований у первинних стандартах. На практиці це означає:
- усі повідомлення передаються у відкритому вигляді й можуть бути перехоплені будь-ким, хто має бюджетний SDR-приймач і просту антену;
- ідентифікатори датчиків не змінюються й не маскуються, що суперечить принципам privacy by design та сучасним вимогам до IoT-пристроїв;
- відсутні базові криптографічні механізми — шифрування та взаємна аутентифікація датчиків і блока керування.
З погляду кібербезпеки автомобілів та відповідності вимогам на кшталт UNECE R155 чи ISO/SAE 21434, мінімальним набором заходів виглядає впровадження динамічних (ротованих) ідентифікаторів, шифрування телеметрії TPMS, а також обов’язкова перевірка автентичності кожного повідомлення на рівні електронного блока управління. Аналогічні підходи вже давно застосовуються в інших сегментах Інтернету речей (IoT), однак в автомобільних підсистемах вони впроваджуються із суттєвим запізненням.
Історія з TPMS наочно демонструє, що навіть другорядні автомобільні модулі можуть стати інструментом масового стеження й цілеспрямованих атак, якщо питання конфіденційності та безпеки ігноруються на етапі проєктування. Для автовиробників і постачальників компонентів це сигнал переглянути підходи до розробки електронних систем, а для регуляторів — уточнити вимоги так, щоб вони охоплювали не лише фізичну безпеку дорожнього руху, а й цифрову приватність водіїв. Водіям же варто усвідомлювати, що будь-які «розумні» функції, підключені до радіоканалів та інтернету, неминуче генерують дані про їхню поведінку, а отже потребують уважного ставлення до кіберризиків і відповідального вибору технологій.
