Sensor TPMS (sistem pemantauan tekanan ban) dipelajari secara aktif beberapa tahun yang lalu. Mereka secara berkala mengirimkan tekanan ban, suhu, dan ID unik yang dapat disalahgunakan untuk melacak kendaraan. Namun, ada aspek lain: sensor TMPS modern juga memiliki penerima, yang biasanya digunakan untuk menghidupkan transmisi data saat sensor TPMS baru muncul di dalam mobil ("prosedur pembelajaran").
Di Eropa, sensor TPMS biasanya memancarkan sinyal di pita 433 MHz (ditujukan untuk ISM - industri, sains, dan kedokteran). Penerima beroperasi pada 125 kHz, sangat dekat dengan LF RFID. Cara termudah untuk menggunakan receiver adalah dengan mencari keberadaan pembawa 125 kHz dan kemudian hidupkan transmisi data. Sensor modern biasanya lebih maju dan menggunakan pembawa termodulasi yang berisi paket perintah; transmisi data diaktifkan hanya jika perintah yang benar diterima.
Jika Anda memiliki penerima, maka, tentu saja, Anda tidak hanya dapat mengaktifkan transfer data: misalnya, penerima dapat mendukung berbagai perintah, dan beberapa sensor bahkan memungkinkan Anda memperbarui firmware dengan cara ini.
Salah satu perintah yang didukung adalah mengalihkan sensor ke mode "Pengiriman". Mengapa ini dibutuhkan? Saat sensor bekerja normal, ia menunggu gerakan (ada sensor akselerasi / kejut di dalamnya) dan mulai mengirimkan data secara berkala hanya saat roda berputar. Ini untuk menghemat daya baterai. Jika sensor TPMS belum dipasang di ban, seharusnya tidak bereaksi terhadap gerakan, oleh karena itu mode "Pengiriman" digunakan. Dalam mode ini, sensor hanya aktif setiap beberapa detik dan memeriksa sinyal 125 kHz; jika ada, sensor akan memeriksa perintah yang benar, misalnya, perintah untuk mengaktifkan transmisi data, yang biasanya juga keluar dari mode Pengiriman dan mengalihkan sensor ke operasi normal.
Mode "Pengiriman" ini dapat disalahgunakan: jika kita dapat mengalihkan sensor TPMS roda mobil ke mode "Pengiriman", sensor tidak akan lagi dapat mengirimkan data, dan setelah beberapa saat indikator pemantauan tekanan ban akan menyala. Di sini perlu diperjelas: indikator peringatan ini hanya mengganggu pengemudi, tetapi tidak mempengaruhi keselamatan mobil, karena sensor TMPS yang dinonaktifkan tidak mempengaruhi tekanan ban itu sendiri.
Saya memutuskan untuk memeriksa beberapa sensor TPMS dari berbagai mobil untuk kemungkinan mati seperti itu. Saya memilih sensor untuk mobil BMW dan Ford. Perlu dicatat bahwa ini kemungkinan besar juga terjadi pada pabrikan mobil lain, karena ada sejumlah produsen sensor TPMS yang memasok sensor dari berbagai pabrikan kendaraan. Pilihan BMW dan Ford didorong oleh fakta bahwa saya dapat menemukan banyak sensor bekas yang murah untuk mobil-mobil ini.
Selain itu, saya hanya mencari sensor "OEM" untuk BMW dan Ford; Artinya, sensor ini dipasang oleh pabrikan mobil itu sendiri. Ada juga sensor "universal", biasanya dipasang oleh dealer ban; ada catatan tentang mereka di akhir postingan.
Alat untuk mentransmisikan data pada 125 kHz cukup sederhana untuk dibuat: ada alat aktivasi murah untuk sensor TMPS EL-50448, yang hanya mentransmisikan frekuensi pembawa tanpa modulasi. Namun, perangkat keras dapat dengan mudah dimodifikasi dengan menyediakan modulasi pembawa: sebagian besar waktu untuk transmisi data, OOK (Tombol On-Off) digunakan; ini berarti operator dihidupkan dan dimatikan. EL-50448 menggunakan penguat daya dengan pin "aktifkan" yang tidak digunakan untuk menghasilkan pembawa, sehingga Anda dapat menggunakan pin ini untuk memodulasi pembawa. Tingkat baud rendah, 3900 baud sering digunakan. Pengkodean bit data Manchester yang paling umum digunakan, yaitu frekuensi pembawa berubah dua kali lebih sering (7800 perubahan per detik). Tidak ada yang istimewa tentang ini, dan itu dapat diterapkan, mungkin,menggunakan mikrokontroler apa pun yang Anda suka. Biaya sistem semacam itu kurang dari 20 euro, dan radius transmisi kira-kira 20 cm.
Bagaimana cara menemukan perintah untuk mengaktifkan mode Pengiriman? Pemeriksaan brute force semua kemungkinan perintah hanya dapat diterapkan jika perintahnya pendek. Alasannya adalah karena sensor mencari sinyal frekuensi rendah 125 kHz setiap beberapa detik. Jika perintah tidak lebih dari dua byte, maka brute-force dimungkinkan (ini akan memakan waktu beberapa hari), tetapi tidak berlaku untuk perintah yang lebih panjang. Perlu juga dicatat bahwa Anda perlu menemukan cara untuk mengenali apakah sensor TPMS merespons perintah yang dikirim, misalnya, memantau konsumsi daya sensor atau menerima sinyal data 433 MHz (tentu saja, ini akan berfungsi jika perintah yang Anda kirim menyebabkan transfer data).
Pilihan lainnya adalah mencari alat TPMS yang digunakan dealer ban dan bengkel untuk menguji sensor TPMS. Beberapa alat ini mungkin mendukung pengalihan sensor TPMS ke mode Pengiriman.
Berikut adalah hasil yang saya temukan (sehingga data tidak dapat digunakan untuk tindakan jahat, saya tidak akan menjelaskan secara detail):
- BMW:
Satu sensor yang digunakan di banyak model mobil penumpang dan diproduksi oleh produsen sensor TPMS "A" dapat dialihkan ke mode "Pengiriman". Sensor TPMS yang dinonaktifkan dapat diaktifkan dengan perintah lain. Selain itu, jika sensor mendeteksi perubahan tekanan yang cepat (misalnya, saat ban mengembang), maka sensor keluar dari mode "Pengiriman". Perintahnya panjangnya empat byte, jadi brute-force tidak berlaku. - Ford:
, TPMS «A» ( , ), «Shipping». , BMW. TPMS .
, TPMS «B», «Shipping». TPMS . , , «» . :
- TPMS. , , .
- « » 433 . 433 . (. ), . , ( FSK-, Frequency Shift Keying).
Contoh-contoh ini menunjukkan bahwa sebenarnya mungkin untuk menghancurkan sensor tersebut dengan mengeluarkan perintah yang sesuai. Selain itu, jika sensor berada dalam mode "transmisi frekuensi pembawa", maka kemungkinan akan mengganggu pengoperasian pengontrol fob kunci kendaraan, yang menggunakan frekuensi yang sama dengan sensor TPMS.
Untuk mengirimkan sinyal frekuensi rendah 125 kHz ini, Anda harus berada di dekat mesin, tetapi hanya perlu beberapa detik untuk mendeteksi sinyalnya. Jika Anda menggunakan antena yang lebih besar untuk pemancar (yang sebenarnya adalah gulungan), misalnya, yang muat di dalam tas kerja, maka Anda dapat meningkatkan radius transmisi hingga lebih dari satu meter.
Bagaimana cara menghindari masalah seperti itu? Sebenarnya cukup sederhana - perintah untuk beralih ke mode "Pengiriman" tidak boleh diizinkan jika tekanan ban yang diukur lebih besar dari batas tertentu, karena ini berarti sensor dipasang di ban kendaraan. Hal yang sama berlaku untuk perintah sensor "B" pabrikan lain, yang kemungkinan besar merupakan semacam uji produksi atau tim pengembangan. Perhatikan juga bahwa selama pengujian saya, perintah yang dijelaskan dapat dijalankan bahkan ketika tekanan ban yang diukur berada dalam kisaran roda mobil standar.
Sebelum menerbitkan artikel ini, saya menghubungi pabrikan mobil (BMW dan Ford). Inilah yang dihasilkannya:
- BMW:
- BMW. . , BMW , . TPMS , . - Ford:
- Ford Germany, , « ». -, . , TPMS - , . , , , « » TPMS, Ford. . , , .
Catatan tentang sensor "universal" yang biasa digunakan oleh dealer ban: Sensor ini bersifat "universal" karena dapat diprogram untuk model mobil yang berbeda. Untuk pengecer ban, manfaat utama dari sensor tersebut adalah cukup untuk memiliki sejumlah kecil sensor "universal" yang tersedia dan tidak perlu membeli banyak sensor OEM yang berbeda untuk setiap model mobil. Penggunaan yang paling umum dari sinyal frekuensi rendah 125 kHz untuk memprogram sensor "generik" ini adalah untuk mengirimkan data program ke sensor. Banyak dari sensor "universal" ini dapat diprogram ulang terlepas dari tekanan ban yang diukur, jadi cara termudah untuk melakukan serangan penolakan layanan adalah dengan memprogram ulang sensor untuk model mobil yang berbeda.
Periklanan
Server dengan perlindungan DDoS gratis - itu tentang kami! Semua server di luar kotak dilindungi dari serangan DDoS, buat konfigurasi server virtual Anda sendiri dalam beberapa klik.
