Od dekady lampka kontrolna z symbolem przekreślonego koła stała się nieodłącznym elementem deski rozdzielczej każdego nowego samochodu sprzedawanego w Europie. Obowiązek montowania systemu monitorowania ciśnienia w oponach (TPMS) miał przede wszystkim zapobiegać wypadkom, ograniczać zużycie paliwa i wydłużać żywotność ogumienia. Najnowsze badania wskazują jednak, że te same czujniki mogą niepostrzeżenie posłużyć do czegoś zupełnie innego: śledzenia pojazdów oraz ich użytkowników.
Unijny obowiązek i dwie drogi realizacji kontroli ciśnienia
Przepisy homologacyjne obowiązujące w Unii Europejskiej od listopada 2014 r. wymagają, aby każde nowo rejestrowane auto osobowe było wyposażone w układ TPMS. Regulacja odpowiadała na statystyki Europejskiej Rady Bezpieczeństwa Transportu, według których nieprawidłowe ciśnienie odpowiadało nawet za kilkanaście procent incydentów drogowych skutkujących utratą panowania nad pojazdem. W praktyce producenci dostali swobodę wyboru między dwiema technologiami:
System pośredni opiera się na czujnikach prędkości obrotowej kół, które i tak są częścią układu ABS. Algorytmy analizują różnice w prędkości obracania się poszczególnych kół – spadek ciśnienia oznacza mniejszą średnicę opony i szybsze obroty. Metoda ta nie wymaga dodatkowego sprzętu w kole, lecz działa z opóźnieniem i nie dostarcza bezwzględnej wartości ciśnienia.
System bezpośredni wykorzystuje miniaturowe nadajniki montowane w każdym wentylu. Każdy moduł mierzy ciśnienie i temperaturę, a następnie w regularnych odstępach – zwykle między 30 a 60 s podczas jazdy – wysyła bezprzewodowo pakiet danych do centralnego komputera. To właśnie ta architektura, dziś dominująca w segmencie aut klasy średniej i wyższej, otworzyła nieoczekiwaną furtkę do profilowania pojazdów.
Dlaczego opona nadaje sygnał radiowy i co można z niego wyczytać
Aby ograniczyć koszt wymiany baterii, producenci TPMS zdecydowali się na transmisję krótkimi, nieszyfrowanymi telegramami w wolnodostępnych pasmach 433 MHz lub 315 MHz. Wewnątrz pakietu znajduje się nie tylko wartość ciśnienia, temperatury i stan baterii, lecz również 32- lub 40-bitowy numer identyfikacyjny przypisany do konkretnego czujnika. W praktyce oznacza to, że każdy komplet opon wysyła w eter zestaw czterech unikalnych podpisów, które – niczym odcisk palca – pozostają niezmienne przez cały okres eksploatacji czujnika.
Inżynierowie początkowo uznali, że zasięg kilku-kilkudziesięciu metrów, typowy dla tych modułów, nie niesie szczególnego ryzyka. Jednak postęp w projektowaniu anten kierunkowych i dostępność tanich odbiorników SDR (Software Defined Radio) radykalnie zmniejszyły próg wejścia dla potencjalnych podsłuchiwaczy. Obecnie za równowartość średniej kolacji można zestawić stację zdolną do wychwytywania ramek TPMS z drugiego końca parkingu, a nawet przez betonowe ściany wielopoziomowego garażu.
Eksperyment IMDEA Networks: miliony ramek, tysiące samochodów
Hiszpański instytut badawczy IMDEA Networks przeprowadził przed rokiem projekt, którego celem było empiryczne sprawdzenie skali zjawiska. Badacze rozmieścili sieć kilkunastu niewielkich odbiorników SDR wzdłuż ruchliwej arterii pod Madrytem oraz w podziemnym parkingu centrum handlowego. Cały zestaw kosztował mniej niż 100 USD. W ciągu dziesięciu tygodni zarejestrowano ponad sześć milionów telegramów pochodzących od przeszło dwudziestu tysięcy różnych pojazdów.
Analiza ruchu pozwoliła przypisać konkretne identyfikatory czujników do jednego pojazdu i następnie odtwarzać jego trasy na podstawie ponownych detekcji w innych punktach miasta. Co istotne, nie trzeba było kompletnego zestawu czterech sygnatur – już trzy powtarzające się numery dawały ponad 99 % pewności identyfikacji. Zestawiając dane radiowe z kamer monitoringu drogowego, zespół był w stanie określić także markę, segment oraz przewidywaną masę auta w danym momencie, korzystając z zależności między wzrostem temperatury a obciążeniem opony.
Implikacje dla kierowców, flot i producentów
Konsekwencje tej luki wykraczają poza czysto akademicką dyskusję. W praktyce:
• Operatorzy parkingów mogą śledzić, jak często i na jak długo dany pojazd odwiedza obiekt, nawet jeśli numery rejestracyjne zostaną zakryte.
• Podmioty analizujące ruch drogowy zyskują możliwość budowania baz danych trajektorii pojedynczych samochodów bez konieczności używania kamer ANPR.
• Floty firmowe są narażone na nieautoryzowane profilowanie tras, a tym samym na naruszenie tajemnicy handlowej.
• Osoby prywatne mogą paść ofiarą śledzenia stalkerów lub kradzieży, gdyż urządzenia te zdradzają również, czy samochód stał nieużywany przez dłuższy czas.
Pod względem cyberbezpieczeństwa problem przypomina wczesną erę sieci Wi-Fi, gdy otwarte punkty dostępu były domyślnym ustawieniem. Stosowane obecnie chipy TPMS mają co prawda wystarczającą moc obliczeniową do wdrożenia prostych mechanizmów uwierzytelniania, ale producenci nie wprowadzili takiej funkcji z obawy przed wzrostem kosztów i złożoności procedur serwisowych przy wymianie ogumienia.
Potrzebne rozwiązania: szyfrowanie, rotacja identyfikatora czy zmiana regulacji?
Specjaliści ds. prywatności wskazują trzy ścieżki ograniczenia ryzyka. Pierwsza to wprowadzenie szyfrowania pakietów i skrócenie identyfikatorów tak, aby nie były globalnie unikalne. Rozwiązanie to proponuje już kilku dostawców podzespołów na rynek azjatycki. Druga opcja przewiduje periodicalną rotację numeru identyfikacyjnego, analogiczną do losowego MAC address w smartfonach, co utrudniłoby długofalowe profilowanie pojazdu. Trzecia, najbardziej gruntowna, zakłada modyfikację unijnych regulacji tak, aby nadawały sygnałowi TPMS status danych osobowych w rozumieniu RODO, co wymusiłoby wdrożenie adekwatnych środków technicznych i organizacyjnych.
W międzyczasie zarządcy flot mogą podjąć proste kroki zaradcze, takie jak stosowanie kół z czujnikami pasywnymi w okresie magazynowania pojazdów lub wdrożenie ekranowanych worków transportowych. Kierowcy indywidualni mają ograniczone pole manewru, lecz przy każdej sezonowej wymianie opon warto pytać warsztat o możliwość montażu czujników wspierających nowsze, bezpieczniejsze protokoły RF. Branża motoryzacyjna jest dziś na podobnym rozdrożu, jak producenci inteligentnych urządzeń domowych kilka lat temu: komfort i koszty produktu zderzają się z rosnącą świadomością zagrożeń dla prywatności.
