自2000年代末起,法国及欧盟所有新售车辆均强制配备胎压监测系统(TPMS),旨在监测胎压异常并提醒驾驶员。然而,这一看似无害的安全装置正面临严峻的隐私挑战。欧洲IMDEA Networks研究所的研究人员指出,该系统在运行中会持续发射无线电信号,且信号内容未加密,使得车辆行踪极易被第三方窃听。
研究团队仅花费约100欧元,利用树莓派和简易无线电接收器,在巴黎周边道路和停车场部署了五个接收点。短短十周内,系统成功截获了超过600万条无线电信号,涉及20000多辆不同车辆。这些信号穿透力强,传输距离超过50米,甚至能穿过墙壁,且无需任何黑客手段或厂商配合,仅需普通无线电设备即可获取。
问题的核心在于,每个TPMS传感器都包含一个唯一的电子标识符,该标识符以明文形式定期广播,相当于车辆向外界“自报家门”。由于缺乏加密保护,任何拥有接收设备的人都能轻易读取该ID。更令人担忧的是,即使车辆熄火停放,部分传感器仍会每小时发送一次信号,持续暴露车辆位置信息。
基于这些被动收集的数据,研究人员成功重构了车主的日常生活轨迹。通过分析信号的时间规律,他们能精准判断车主的工作时间、是否居家办公、周末是否出行,甚至能识别出车主的休假周期。此外,结合胎压数据,还能推断车辆类型及载重情况,从而进一步丰富对车主画像的描绘。
研究团队还推演了三种潜在风险场景:商业数据公司可低成本建立监测网络,将车辆轨迹数据出售给广告商或保险公司;犯罪分子可利用信号规律掌握居民外出时间,实施精准盗窃;甚至有人可能通过伪造胎压报警信号,诱导货车在特定地点停车,实施物理攻击。这些场景揭示了看似微小的技术漏洞可能带来的严重后果。
尽管自2022年7月起,联合国第155号法规要求全球54个国家(包括所有欧盟成员国)对新车型实施网络安全认证,但TPMS系统并未被纳入监管范围。这一监管盲区使得数百万辆已上路车辆仍暴露在不加密的无线信号中。研究人员建议,未来应强制对TPMS通信进行加密,并定期更换传感器标识符,以切断长期追踪的可能性。
对于中国车企而言,这一案例极具警示意义。随着中国新能源汽车智能化程度不断提升,各类传感器数据收集日益频繁,必须将“隐私设计”理念前置,避免在追求功能便利时忽视底层通信安全,防止类似“胎压传感器”的隐形漏洞成为数据泄露的突破口。
