Seguridad inalámbrica en el Automóvil: Sensores TPMS

Una de las áreas de investigación en seguridad informática que más titulares impactantes ha producido en los últimos años ha sido, sin duda, las vulnerabilidades en automóviles. De todos ellos quizá los mas conocidos son la serie de artículos y charlas de Charlie Miller, anteriormente célebre por sus investigaciones de seguridad de Apple iOS. Charlie tras adquirir un Jeep Cheroke descubrió como era posible a través del bus CAN que comunica las diferentes centralitas o ECU (Engine control unit) realizar acciones como frenar, acelerar o controlar de dirección del vehículo. Todo esto de forma remota y en algunos casos sobrepasando de manera ingeniosa comprobaciones de seguridad implementadas precisamente para prevenir accidentes.

Si bien no todos los hacks” de vehículos son tan espectaculares existen una serie de vulnerabilidades que teniendo un impacto comparativamente menor afectan a funciones comunes de nuestros coches. Un ejemplo de ello son los sistemas TPMS inalámbricos disponibles en la mayoría de vehículos actuales.

Ejemplo de funcionalidad TPMS  en un vehículo moderno.

En un vehículo dotado de TPMS inalámbrico cada neumático incluye un sensor que mide diversos valores y los transmite de forma periódica a una ECU. En caso de una pérdida significativa de presión en el neumático el conductor es alertado de esta incidencia. La señal de radio utilizada para este propósito no corresponde a ningún estándar abierto pero gracias al trabajo de ingeniera inversa de diversos investigadores se ha documentado el formato de los principales fabricantes. Al hacerlo descubrieron que la gran mayoría de estos sistemas transmiten en texto plano los valores medidos, acompañados de un identificador único, con la única protección de checksum para evitar  corrupción de valores por interferencias radioeléctricas.

El riesgo más inmediato que presentan por tanto estos sistemas es el problema de privacidad que supone tener el equivalente a una baliza de corto alcance permanentemente activada en nuestro vehículo. Esos números ID únicos podrían captarse desde una o mas estaciones receptoras para verificar la presencia de un vehículo concreto o establecer patrones de uso. Es ciertamente también posible realizar algunas acciones maliciosas activas contra el TPMS, como hacer que el vehículo piense que está teniendo un problema en un neumático, o problema con el sistema de TPMS. El resultado puede ir desde el simple encendido del testigo a que el vehículo entre en modo de seguridad limitando la velocidad máxima.  Incluso existe un caso documentado de “brick” (bloqueo permanentemente) de una centralita ECU al recibir paquetes TPMS erróneos. Con respecto a las posibilidades de ejecución de algún tipo de código remoto, parece que la superficie de ataque es pequeña y no existe en la literatura casos de explotación por esta vía hasta el momento. Pero debemos recordar que en cualquier sistema informático una entrada de datos es susceptible de ser usado como punto de inyección de información malformada con fines maliciosos, y si estos valores no son filtrados adecuadamente puedan conducir a denegaciones de servicio o comportamiento no contemplado por el diseñador del software. 

Desde los fabricantes de sistemas TPMS se respondió minimizando el posible impacto de los ataques activos dado que el atacante tendría que seguir al vehículo víctima durante sus trayectos o instalarle subrepticiamente un dispositivo emisor  TPMS falso. Quizá demasiado esfuerzo para lograr que se encienda la alerta de presión de neumáticos. Por otro lado estimaban que la recepción pasiva de identificadores únicos quedaba mitigada por el escaso alcance de estos sistemas, no mas de un par de metros. Así como el alto costo de un sistema receptor, unos 1500 dólares el usado por los investigadores de la universidades de Carolina del Sur y Rutgers en el año 2010.

Receptor RTL-SDR, antena y sensor TPMS usados en nuestro laboratorio.

Decididos a determinar cuál es riesgo en la actualidad de este tipo de dispositivos realizamos pruebas tanto en nuestro laboratorio como en el mundo real. Para ello empleamos un receptor de radio de bajo costo del tipo RTL-SDR , un dongle receptor de televisión digital que con los drivers adecuados se convierte en un receptor SDR. El precio en el mercado de estos dispositivos es ciertamente bajo pudiendo encontrase desde  8 euros, mientras que la disponibilidad de miniordenadores del tipo RaspberryPi u OrangePi facilita crear una estación receptora completa por menos de 40 euros. Por otro lado los sensores TPMS si queremos realizar ingeniera inversa sobre ellos los podremos encontrar en desguaces desde los 12 aproximadamente.

En cuanto al software requerido existen diversos proyectos de código libre que implementen la recepción de TPMS de diferentes fabricantes. De ellos el mas sencillo de utilizar es rtl_433 un proyecto de decodificador multiprotocolo  destinado a recibir dispositivos en banda  ISM de corto alcance, que es la empleada por los sensores TPMS. Este software es capaz de recibir los sensores del protocolo Citroen (empleado también por Peugeot, Fiat y Mitsubishi entre otros), Schraeder (utilizado por ejemplo por Mercedes, Audi, BMW, Chrysler, Jeep, Hyundai, Kia, Porsche y VW) así como  Steelmate un sistema aftermarket que no llegamos a detectar en uso durante nuestras pruebas.

El  receptor RTL-SDR capta inmediatamente nuestro TPMS de pruebas, así como otros instalados en vehículos que circulan por la zona.

¿Qué hay de las afirmaciones de los fabricantes en cuanto que es difícil recibir este tipo de transmisiones? Usando nuestro TPMS de pruebas comprobamos que es perfectamente posible captarlo a 20 metros incluso ubicado dentro de un vehículo. Continuamos  conectado nuestra pequeña estación receptora a una antena base omnidireccional de radioaficionado en un entorno residencial  y conseguimos recibir rutinariamente TPMS de vehículos que circulan por la zona a más de 100 metros de distancia.  Finalmente realizadas pruebas en un entorno ideal de línea de visión directa en campo abierto y con una antena de alta ganancia direccional conseguimos elevar este número hasta los 400 metros.

En seguridad informática se suele decir que dada la existencia de una vulnerabilidad la tendencia será siempre a rebajar el listón de la dificultad de explotación. Algo que aquí podemos ver claramente pues en pocos años se ha pasado de ataques en el ámbito académico a la posibilidad de que cualquier aficionado pueda montar una estación receptora con unos pocos euros y horas de trabajo.

Los  sistemas TPMS  han supuesto una importante mejora en la seguridad vial, previniendo potencialmente graves accidentes originados por el estado deficiente de los neumáticos. Pero como cualquier aplicación de nuevas tecnologías lleva aparejada la introducción de problemáticas de seguridad informática que no existían en los sistemas de automóvil tradicionales.

Finalmente debemos recordar que los sensores TPMS son solo una pequeña parte de la superficie de exposición inalámbrica de un automóvil moderno, a ellos se añaden entre otros: los mandos del cierre centralizado tradicional o mediante aplicaciones móviles, los sistemas de arranque sin llave, asistencia remota integrada a través de redes móviles, los geo-localizadores anti-robo, los navegadores que integran junto al GPS la información de tráfico RDS-TMC, los transpondedores de pago automático de peajes, el acceso a internet en el vehículo mediante wifi y en un futuro cercano las comunicaciones V2V (Vehicle to Vehicle). Todos ellos utilizan comunicaciones vía radiofrecuencia susceptibles de tener implicaciones de seguridad informática y privacidad.

Recent Posts

Leave a Comment