Verplichte bandenspanningssensoren blijken in de praktijk onzichtbare spionnen in je wielen

Sinds eind jaren 2000 is het Tire Pressure Monitoring System (TPMS) in veel landen verplicht om de verkeersveiligheid te vergroten en brandstofverbruik te optimaliseren. Het systeem werkt met kleine sensoren in de wielen die draadloos de actuele bandenspanning doorgeven aan de boordcomputer, zodat er tijdig gewaarschuwd kan worden voor een zachte band.

Wat echter onderbelicht is gebleven, is dat deze sensoren tegelijkertijd een uniek, vast ID-nummer uitzenden. Onderzoekers van het Spaanse instituut IMDEA Networks hebben in samenwerking met Europese partners ontdekt dat dit signaal volledig onversleuteld (in de zogeheten 'clear' of plain text) door de lucht gaat. Iedereen met een relatief simpele radio-ontvanger in de buurt kan dit signaal oppikken en de auto zodoende op een later moment opnieuw herkennen.

Onzichtbaar volgen met goedkope apparatuur

Waar camera's of kentekenscanners altijd een directe zichtlijn nodig hebben, gaat het TPMS-signaal dwars door muren en andere voertuigen heen. Hierdoor kunnen kleine, verborgen ontvangers de signalen verzamelen zonder dat ze worden opgemerkt. De onderzoekers wilden aantonen hoe reëel dit gevaar in de praktijk is en bouwden voor slechts 100 dollar per stuk een netwerk van radio-ontvangers langs wegen en op parkeerplaatsen.

In een periode van tien weken vingen ze meer dan zes miljoen berichten op van ruim 20.000 verschillende auto's. Door de signalen van de vier afzonderlijke wielen van één auto te koppelen, kon het team de nauwkeurigheid van het volgen flink vergroten. "Onze resultaten tonen aan dat deze signalen gebruikt kunnen worden om voertuigen te volgen en hun bewegingspatronen te leren kennen," stelt onderzoeker Domenico Giustiniano in de publicatie. "Dit kan dagelijkse routines onthullen, zoals aankomsttijden op het werk of algemene reisgewoonten."

Meer dan alleen locatiebepaling

De privacyrisico's reiken verder dan uitsluitend locatiebepaling. Omdat het TPMS-signaal ook daadwerkelijk de bandenspanning en eventuele schommelingen doorgeeft, kunnen systemen afleiden met wat voor soort voertuig ze te maken hebben. Het kan in theorie zelfs verraden of een voertuig plotseling zwaarbeladen is met passagiers of vracht.

Volgens de onderzoekers bewijst deze studie dat data die passief en onschuldig lijkt, plotseling een krachtig identificatiemiddel wordt wanneer het op grote schaal wordt verzameld. Omdat de huidige cybersecurity-regelgeving voor voertuigen nog geen specifieke veiligheidseisen of encryptie voor TPMS verplicht stelt, roept het team autofabrikanten en beleidsmakers op tot actie. Zonder versleuteling blijven deze verplichte veiligheidssystemen een onzichtbaar en goedkoop doelwit voor passieve massasurveillance.