Anwendungsfall: Tracking über Reifendrucksensoren
Tire Pressure Monitoring Systems (TPMS), auf Deutsch Reifendruckkontrollsysteme (RDKS), gehören heute zur Standardausstattung moderner Fahrzeuge. In der EU sind sie seit 2014 für Neuwagen verpflichtend, in den USA bereits seit 2007. Ziel der Systeme ist es, den Fahrer frühzeitig über Druckverlust in den Reifen zu informieren und dadurch Unfälle, erhöhten Reifenverschleiß sowie unnötigen Kraftstoffverbrauch zu vermeiden. Während der Sicherheitsgewinn unbestritten ist, geraten TPMS-Systeme zunehmend in den Fokus von IT-Sicherheitsforschern.
Der Grund: Viele Systeme übertragen ihre Daten unverschlüsselt per Funk und verwenden statische Identifikatoren (ID-Nummers). Dadurch entstehen nicht nur klassische Sicherheitsprobleme, sondern auch erhebliche Datenschutz- und Privacy-Risiken.
Grundlagen moderner TPMS-Systeme
Grundsätzlich unterscheidet man zwei Arten von Reifendruckkontrollsystemen, die hier erwähnt werden.
Indirektes TPMS
Indirekte Systeme verwenden keine eigenen Drucksensoren. Stattdessen analysieren sie die Raddrehzahlen über das ABS- beziehungsweise ESP-System. Ein Reifen mit geringerem Luftdruck besitzt einen kleineren Abrollumfang und dreht sich schneller.
Vorteile
- kostengünstig
- keine Batterien in den Rädern
- wartungsarm
Nachteile
- geringere Genauigkeit
- keine exakte Druckanzeige
- langsamere Reaktion
Im Rahmen dieses Artikels ist das indirekte TPMS jedoch nicht relevant, jedoch wird es der Vollständigkeit erwähnt.
Direktes TPMS (dTPMS)
Direkte TPMS-Systeme verwenden batteriebetriebene Sensoren in jedem Reifen. Diese messen typischerweise:
- Luftdruck
- Temperatur
- Batteriestatus
- teilweise Beschleunigung oder Bewegung
Die Daten werden anschließend per Funk an ein Steuergerät im Fahrzeug übertragen. Moderne Systeme arbeiten im ISM Band, dies ist Regionsabhängig:
- 433-MHz-Band (Europa)
- 315-MHz-Band (USA)
Die Sensoren senden ihre Daten in regelmäßigen Intervallen oder bei Bewegung des Fahrzeugs.
Funkkommunikation der TPMS-Sensoren
Die meisten TPMS-Sensoren verwenden einfache Funkprotokolle mit sehr geringer Datenrate.
Der Fokus lag historisch auf:
- niedriger Energieaufnahme
- langer Batterielebensdauer
- geringen Kosten
- hoher Reichweite im Fahrzeugumfeld
Sicherheitsaspekte spielten bei der ursprünglichen Entwicklung vieler Systeme nur eine untergeordnete Rolle.
Die TPMS Datenpakete sind OEM abhängig und unterscheiden sich minimal. Im Großen und ganzen sind jedoch die folgenden Daten vorhanden.
Typischerweise enthält ein TPMS-Datenpaket:
- Sensor-ID
- Reifendruck
- Temperatur
- Statusinformationen
- Prüfsumme
Diese Datenpakete werden zyklisch gesendet. Die Sensoren arbeiten in einem Beacon Mode, dabei werden die Datenpakete gesendet. Die Sensoren erwarten keine Rückmeldung vom Fahrzeug. Damit das Fahrzeug die Sensoren zuordnen kann, müssen die Senso-IDs in das Fahrzeug eingelernt werden.
Das Problem:
Viele Systeme senden diese Informationen vollständig unverschlüsselt. Forschungsergebnisse zeigen zudem, dass die Sensoren statische eindeutige Kennungen verwenden. Dies ermöglicht zwar eine einfache Handhabung für die Identifikation und Auswertung im Fahrzeug, jedoch ergeben sich damit auch Risiken.
Privacy-Risiken durch statische Sensor-IDs
Die größte Privacy-Problematik moderner TPMS-Systeme liegt in der dauerhaften Wiedererkennbarkeit einzelner Fahrzeuge.
Da viele Sensoren:
- feste IDs verwenden
- regelmäßig senden
- unverschlüsselt kommunizieren
kann ein Fahrzeug theoretisch über seine Reifensensoren verfolgt werden.
Forscher demonstrierten bereits vor Jahren, dass TPMS-Signale mit günstiger Hardware aus mehreren Dutzend Metern Entfernung empfangen werden können. Neuere Untersuchungen zeigen sogar großflächige Tracking-Szenarien:
- mehrere Millionen empfangene TPMS-Signale
- tausende eindeutig identifizierte Fahrzeuge
- Korrelation von Bewegungsprofilen und Alltagsroutinen
Im Gegensatz zur klassischen Kennzeichenerkennung benötigt TPMS-Tracking:
- keine Kamera
- keine direkte Sichtlinie
- keine gute Lichtverhältnisse
Die Funksignale durchdringen teilweise:
- andere Fahrzeuge
- Wände
- Parkhausstrukturen
Dadurch entstehen Möglichkeiten zur verdeckten Massenüberwachung. Empfangsgeräte sind günstig und in einigen Fällen lokal auch vorhanden. Es existieren beispielsweise Ampelanlagen mit ISM Funkstelle.
Angriffsmöglichkeiten auf TPMS-Systeme
Neben Privacy-Problemen existieren auch klassische Security-Risiken.
Passives Mithören
Mit SDR-Hardware (Software Defined Radio) können TPMS-Signale relativ einfach empfangen und analysiert werden. Die Hardware kann vereinzelt bereits für unter 100 Euro erworben werden und die benötigte Software ist durch Open Source Lizenzen kostenlos erhältlich
Beliebte Werkzeuge:
- RTL-SDR
- HackRF
- RTL-433
- Universal Radio Hacker
- GNU Radio
Spoofing
Bei vielen TPMS-Protokollen fehlen:
- Authentifizierung
- Signaturmechanismen
- Replay-Schutz
Dadurch können Angreifer gefälschte Sensordaten senden. Als mögliche Folgen ergeben sich daraus:
- Fehlalarme
- falsche Druckwerte
- Verunsicherung des Fahrers
- potenzielle Ablenkung während der Fahrt
Forscher demonstrierten bereits früh erfolgreiche Spoofing-Angriffe gegen TPMS-Systeme.
Replay-Angriffe
Da viele Systeme keine kryptographischen Nonces oder Session-Mechanismen verwenden, können aufgezeichnete Funkpakete erneut ausgesendet werden.
Das Fahrzeug kann diese Pakete unter Umständen als legitime Sensordaten interpretieren.
Warum TPMS-Sicherheit schwierig ist?
Die Sicherheitsproblematik ist nicht ausschließlich auf schlechte Entwicklung zurückzuführen.
TPMS-Systeme besitzen mehrere technische Einschränkungen:
Energieverbrauch
Die Sensorbatterien sollen oft:
- 5 bis 10 Jahre
- wartungsfrei
- unter extremen Temperaturen
funktionieren.
Komplexe Kryptographie erhöht:
- CPU-Last
- Energieverbrauch
- Übertragungsdauer
Kosten
TPMS-Sensoren werden millionenfach produziert. Bereits geringe Mehrkosten pro Sensor haben große wirtschaftliche Auswirkungen.
Moderne Ansätze zur Verbesserung der Privacy
Aktuelle Techniken bieten folgende Verbesserungsmöglichkeiten:
Rotierende Identitäten
Ähnlich wie bei Bluetooth LE könnten Sensoren regelmäßig ihre IDs ändern. Dadurch würde langfristiges Tracking deutlich erschwert.
Verschlüsselung
Die Funkdaten könnten:
- symmetrisch verschlüsselt
- signiert
- authentifiziert
übertragen werden. Allerdings steigt dadurch der Energiebedarf.
Pairing-Verfahren
Sensoren könnten ausschließlich mit dem autorisierten Fahrzeug kommunizieren. Dadurch würden Fremdempfänger weniger Informationen erhalten. Dies benötigt jedoch eine 2-Wege Kommunikation.
Wake-up-Kommunikation
Anstatt permanent zu senden, könnten Sensoren nur nach gezielter Aktivierung kommunizieren.
Dies reduziert:
- Abstrahlzeit
- Angriffsfläche
- Tracking-Möglichkeiten
Für die Batterielebenszeit ist dies zusätzlich von Vorteil und für einige Sensoren bereits umgesetzt.
Ausblick
TPMS-Systeme zeigen exemplarisch ein häufiges Problem moderner Embedded- und IoT-Systeme:
Funktionen werden primär unter Kosten- und Effizienzgesichtspunkten entwickelt, während Datenschutz und Security erst später berücksichtigt werden. Was ursprünglich als einfache Sicherheitsfunktion gedacht war, kann beabsichtigt oder unbeabsichtigt zu einem Werkzeug für Tracking und Überwachung werden.
Mit zunehmender Vernetzung moderner Fahrzeuge steigt die Bedeutung robuster Sicherheitsarchitekturen erheblich. TPMS-Systeme gelten heute deshalb als frühes Beispiel dafür, wie selbst scheinbar harmlose Sensordaten erhebliche Privacy-Risiken erzeugen können. Die kommenden Jahre werden zeigen, ob Hersteller und Regulierungsbehörden Datenschutz und Funk-Sicherheit künftig stärker in Fahrzeugarchitekturen integrieren. Was dabei nicht vergessen werden sollte ist auch eine Usability Betrachtung für Privatanwender, die in der heutigen Zeit in vielen Fällen bereits vernachlässigt werden. In vielen Regionen müssen Reifen 2 mal jährlich gewechselt werden. Für kostenbewusste Personen erschweren direkte TPMS Systeme bereits heute einen Reifenwechsel. Verschlüsselungs- und Einlerngeräte wären in den oben erwähnten Fällen nötig, ob die Fahrzeughersteller diese kostengünstig anbieten würden ist mehr als fraglich. Ebenso ob dies durch die kleine Privatwerkstatt noch durchgeführt werden könnte. Hier besteht wieder eine Situation in der Cybersecurity hinderlich werden kann. Dies könnte eine Einnahmequelle für Fahrzeughersteller auf Kosten der Verbraucher sein.

