2008 sonrası üretilen hemen her otomobilde standart hale gelen lastik basınç sistemi (TPMS), sürüş güvenliği için kritik bir rol üstleniyor. Ancak yayımlanan yeni bir araştırma, bu sistemin siber güvenlik açısından ciddi bir açık barındırdığını ortaya koydu.
Madrid merkezli veri ağı araştırma kuruluşu IMDEA Networks Institute tarafından yürütülen 10 haftalık çalışmada, 20 binden fazla araçtan yaklaşık 6 milyon kablosuz sinyal toplandı. Sonuçlar, modern araçların lastik sensörleri üzerinden takip edilebileceğini gösteriyor.
TPMS nasıl çalışıyor ve nerede risk başlıyor?
2000 yılında yürürlüğe giren TREAD Act ile birlikte, modern araçlarda lastik basınç izleme sistemi zorunlu hale geldi. TPMS; her lastiğe yerleştirilen küçük sensörler aracılığıyla basınç verilerini kablosuz sinyallerle aracın elektronik kontrol ünitesine iletiyor. Basınç düştüğünde sürücü, gösterge panelindeki uyarı ışığıyla bilgilendiriliyor.
Ancak araştırmaya göre asıl sorun, bu sensörlerin yaydığı sinyallerde gizli. Sensörler, şifrelenmemiş ve benzersiz bir kimlik numarasını sürekli olarak kablosuz şekilde yayıyor. Bu da teorik olarak, ucuz bir radyo alıcısına sahip herhangi bir kişinin aracı plakasını görmeden tanıyabilmesine olanak tanıyor.
50 metreden takip mümkün
Araştırmacılar, hareket halindeki araçlardan 50 metreden daha uzak mesafede, hatta duvarların arkasından ve bina içinden sinyal yakalayabildiklerini belirtiyor.
Çalışmanın yazarlarından Domenico Giustiniano, bu sinyallerin araçların hareket desenlerini ortaya çıkarabildiğini vurguluyor. Günlük işe gidiş saatleri, seyahat alışkanlıkları ve rutin güzergâhlar gibi bilgiler teorik olarak analiz edilebiliyor.
Ayrıca lastik basınç verileri; aracın tipi, yaklaşık ağırlığı ve sürüş tarzı hakkında da ipuçları verebiliyor. Üstelik bu yöntem hem düşük maliyetli hem de tespit edilmesi zor bir takip mekanizması olarak öne çıkıyor.
Uzmanlar uyarıyor: Sorun sadece TPMS değil
Dijital haklar savunucusu Electronic Frontier Foundation bünyesinde görev yapan Cooper Quintin’e göre, bu durum modern araçlardaki tek gizlilik riski değil.
Quintin, sürücülerin bilgisi dışında konum takibine imkân tanıyan her yöntemin endişe verici olduğunu belirtirken, araç üreticilerinin reklam, sigorta risk analizi ve benzeri amaçlarla veri toplamasının da ayrı bir tartışma konusu olduğuna dikkat çekiyor.
Aslında TPMS ile ilgili gizlilik endişeleri yeni değil. 2010 yılında Rutgers University ve University of South Carolina araştırmacıları da benzer bir güvenlik açığına dikkat çekmişti. Aradan geçen yıllara rağmen temel tasarım değişmedi.
Araştırma ekibinden Dr. Yago Lizarribar ise TPMS’nin güvenlik için tasarlandığını, ancak siber güvenlik perspektifinin yeterince hesaba katılmadığını ifade ediyor. Çalışma, politika yapıcılar ve otomotiv üreticilerine daha güvenli ve gizliliği koruyan sensör sistemleri geliştirme çağrısında bulunuyor.
