TPMS Sensoren, physische gegen Cybersicherheit?

Anwendungsfall: Tracking über Reifendrucksensoren

Tire Pressure Monitoring Systems (TPMS), auf Deutsch Reifendruckkontrollsysteme (RDKS), gehören heute zur Standardausstattung moderner Fahrzeuge. In der EU sind sie seit 2014 für Neuwagen verpflichtend, in den USA bereits seit 2007. Ziel der Systeme ist es, den Fahrer frühzeitig über Druckverlust in den Reifen zu informieren und dadurch Unfälle, erhöhten Reifenverschleiß sowie unnötigen Kraftstoffverbrauch zu vermeiden. Während der Sicherheitsgewinn unbestritten ist, geraten TPMS-Systeme zunehmend in den Fokus von IT-Sicherheitsforschern.

Der Grund: Viele Systeme übertragen ihre Daten unverschlüsselt per Funk und verwenden statische Identifikatoren (ID-Nummers). Dadurch entstehen nicht nur klassische Sicherheitsprobleme, sondern auch erhebliche Datenschutz- und Privacy-Risiken.

Grundlagen moderner TPMS-Systeme

Grundsätzlich unterscheidet man zwei Arten von Reifendruckkontrollsystemen, die hier erwähnt werden.

Indirektes TPMS

Indirekte Systeme verwenden keine eigenen Drucksensoren. Stattdessen analysieren sie die Raddrehzahlen über das ABS- beziehungsweise ESP-System. Ein Reifen mit geringerem Luftdruck besitzt einen kleineren Abrollumfang und dreht sich schneller.

Vorteile

  • kostengünstig
  • keine Batterien in den Rädern
  • wartungsarm

Nachteile

  • geringere Genauigkeit
  • keine exakte Druckanzeige
  • langsamere Reaktion

Im Rahmen dieses Artikels ist das indirekte TPMS jedoch nicht relevant, jedoch wird es der Vollständigkeit erwähnt.

Direktes TPMS (dTPMS)

Direkte TPMS-Systeme verwenden batteriebetriebene Sensoren in jedem Reifen. Diese messen typischerweise:

  • Luftdruck
  • Temperatur
  • Batteriestatus
  • teilweise Beschleunigung oder Bewegung

Die Daten werden anschließend per Funk an ein Steuergerät im Fahrzeug übertragen. Moderne Systeme arbeiten im ISM Band, dies ist Regionsabhängig:

  • 433-MHz-Band (Europa)
  • 315-MHz-Band (USA)

Die Sensoren senden ihre Daten in regelmäßigen Intervallen oder bei Bewegung des Fahrzeugs.

Funkkommunikation der TPMS-Sensoren

Die meisten TPMS-Sensoren verwenden einfache Funkprotokolle mit sehr geringer Datenrate.
Der Fokus lag historisch auf:

  • niedriger Energieaufnahme
  • langer Batterielebensdauer
  • geringen Kosten
  • hoher Reichweite im Fahrzeugumfeld

Sicherheitsaspekte spielten bei der ursprünglichen Entwicklung vieler Systeme nur eine untergeordnete Rolle.
Die TPMS Datenpakete sind OEM abhängig und unterscheiden sich minimal. Im Großen und ganzen sind jedoch die folgenden Daten vorhanden.

Typischerweise enthält ein TPMS-Datenpaket:

  • Sensor-ID
  • Reifendruck
  • Temperatur
  • Statusinformationen
  • Prüfsumme

Diese Datenpakete werden zyklisch gesendet. Die Sensoren arbeiten in einem Beacon Mode, dabei werden die Datenpakete gesendet. Die Sensoren erwarten keine Rückmeldung vom Fahrzeug. Damit das Fahrzeug die Sensoren zuordnen kann, müssen die Senso-IDs in das Fahrzeug eingelernt werden.

Das Problem:

Viele Systeme senden diese Informationen vollständig unverschlüsselt. Forschungsergebnisse zeigen zudem, dass die Sensoren statische eindeutige Kennungen verwenden. Dies ermöglicht zwar eine einfache Handhabung für die Identifikation und Auswertung im Fahrzeug, jedoch ergeben sich damit auch Risiken.

Privacy-Risiken durch statische Sensor-IDs

Die größte Privacy-Problematik moderner TPMS-Systeme liegt in der dauerhaften Wiedererkennbarkeit einzelner Fahrzeuge.

Da viele Sensoren:

  • feste IDs verwenden
  • regelmäßig senden
  • unverschlüsselt kommunizieren

kann ein Fahrzeug theoretisch über seine Reifensensoren verfolgt werden.

Forscher demonstrierten bereits vor Jahren, dass TPMS-Signale mit günstiger Hardware aus mehreren Dutzend Metern Entfernung empfangen werden können. Neuere Untersuchungen zeigen sogar großflächige Tracking-Szenarien:

  • mehrere Millionen empfangene TPMS-Signale
  • tausende eindeutig identifizierte Fahrzeuge
  • Korrelation von Bewegungsprofilen und Alltagsroutinen

Im Gegensatz zur klassischen Kennzeichenerkennung benötigt TPMS-Tracking:

  • keine Kamera
  • keine direkte Sichtlinie
  • keine gute Lichtverhältnisse

Die Funksignale durchdringen teilweise:

  • andere Fahrzeuge
  • Wände
  • Parkhausstrukturen

Dadurch entstehen Möglichkeiten zur verdeckten Massenüberwachung. Empfangsgeräte sind günstig und in einigen Fällen lokal auch vorhanden. Es existieren beispielsweise Ampelanlagen mit ISM Funkstelle.

Angriffsmöglichkeiten auf TPMS-Systeme

Neben Privacy-Problemen existieren auch klassische Security-Risiken.

Passives Mithören

Mit SDR-Hardware (Software Defined Radio) können TPMS-Signale relativ einfach empfangen und analysiert werden. Die Hardware kann vereinzelt bereits für unter 100 Euro erworben werden und die benötigte Software ist durch Open Source Lizenzen kostenlos erhältlich

Beliebte Werkzeuge:

  • RTL-SDR
  • HackRF
  • RTL-433
  • Universal Radio Hacker
  • GNU Radio

Spoofing

Bei vielen TPMS-Protokollen fehlen:

  • Authentifizierung
  • Signaturmechanismen
  • Replay-Schutz

Dadurch können Angreifer gefälschte Sensordaten senden. Als mögliche Folgen ergeben sich daraus:

  • Fehlalarme
  • falsche Druckwerte
  • Verunsicherung des Fahrers
  • potenzielle Ablenkung während der Fahrt

Forscher demonstrierten bereits früh erfolgreiche Spoofing-Angriffe gegen TPMS-Systeme.

Replay-Angriffe

Da viele Systeme keine kryptographischen Nonces oder Session-Mechanismen verwenden, können aufgezeichnete Funkpakete erneut ausgesendet werden.
Das Fahrzeug kann diese Pakete unter Umständen als legitime Sensordaten interpretieren.

Warum TPMS-Sicherheit schwierig ist?

Die Sicherheitsproblematik ist nicht ausschließlich auf schlechte Entwicklung zurückzuführen.
TPMS-Systeme besitzen mehrere technische Einschränkungen:

Energieverbrauch

Die Sensorbatterien sollen oft:

  • 5 bis 10 Jahre
  • wartungsfrei
  • unter extremen Temperaturen

funktionieren.

Komplexe Kryptographie erhöht:

  • CPU-Last
  • Energieverbrauch
  • Übertragungsdauer

Kosten

TPMS-Sensoren werden millionenfach produziert. Bereits geringe Mehrkosten pro Sensor haben große wirtschaftliche Auswirkungen.

Moderne Ansätze zur Verbesserung der Privacy

Aktuelle Techniken bieten folgende Verbesserungsmöglichkeiten:

Rotierende Identitäten

Ähnlich wie bei Bluetooth LE könnten Sensoren regelmäßig ihre IDs ändern. Dadurch würde langfristiges Tracking deutlich erschwert.

Verschlüsselung

Die Funkdaten könnten:

  • symmetrisch verschlüsselt
  • signiert
  • authentifiziert

übertragen werden. Allerdings steigt dadurch der Energiebedarf.

Pairing-Verfahren

Sensoren könnten ausschließlich mit dem autorisierten Fahrzeug kommunizieren. Dadurch würden Fremdempfänger weniger Informationen erhalten. Dies benötigt jedoch eine 2-Wege Kommunikation.

Wake-up-Kommunikation

Anstatt permanent zu senden, könnten Sensoren nur nach gezielter Aktivierung kommunizieren.

Dies reduziert:

  • Abstrahlzeit
  • Angriffsfläche
  • Tracking-Möglichkeiten

Für die Batterielebenszeit ist dies zusätzlich von Vorteil und für einige Sensoren bereits umgesetzt.

Ausblick

TPMS-Systeme zeigen exemplarisch ein häufiges Problem moderner Embedded- und IoT-Systeme:

Funktionen werden primär unter Kosten- und Effizienzgesichtspunkten entwickelt, während Datenschutz und Security erst später berücksichtigt werden. Was ursprünglich als einfache Sicherheitsfunktion gedacht war, kann beabsichtigt oder unbeabsichtigt zu einem Werkzeug für Tracking und Überwachung werden.

Mit zunehmender Vernetzung moderner Fahrzeuge steigt die Bedeutung robuster Sicherheitsarchitekturen erheblich. TPMS-Systeme gelten heute deshalb als frühes Beispiel dafür, wie selbst scheinbar harmlose Sensordaten erhebliche Privacy-Risiken erzeugen können. Die kommenden Jahre werden zeigen, ob Hersteller und Regulierungsbehörden Datenschutz und Funk-Sicherheit künftig stärker in Fahrzeugarchitekturen integrieren. Was dabei nicht vergessen werden sollte ist auch eine Usability Betrachtung für Privatanwender, die in der heutigen Zeit in vielen Fällen bereits vernachlässigt werden. In vielen Regionen müssen Reifen 2 mal jährlich gewechselt werden. Für kostenbewusste Personen erschweren direkte TPMS Systeme bereits heute einen Reifenwechsel. Verschlüsselungs- und Einlerngeräte wären in den oben erwähnten Fällen nötig, ob die Fahrzeughersteller diese kostengünstig anbieten würden ist mehr als fraglich. Ebenso ob dies durch die kleine Privatwerkstatt noch durchgeführt werden könnte. Hier besteht wieder eine Situation in der Cybersecurity hinderlich werden kann. Dies könnte eine Einnahmequelle für Fahrzeughersteller auf Kosten der Verbraucher sein.

Leave a Comment