Sensores de pneus expõem dados de localização de milhares de motoristas
Aprofundamento CEVIU
Aprofundamento
Os sensores TPMS, obrigatórios em carros da Europa desde 2014 e nos EUA desde 2007, não são só um recurso de segurança mecânica. Eles transmitem, sem criptografia nem autenticação, IDs fixos nas bandas de 315 ou 433 MHz. Com receptores de US$100, é possível captar esses sinais a mais de 50 metros, mesmo dentro de prédios ou entre veículos. Os pesquisadores do IMDEA Networks usaram essa brecha para reconstruir rotinas completas: horários de trabalho, pausas, deslocamentos noturnos e até férias, tudo a partir da correlação dos quatro IDs únicos por veículo. Isso transforma um sistema regulamentado para evitar acidentes em uma rede de rastreamento passivo, invisível e contínuo.
O dado mais crítico não está na pressão dos pneus, mas na persistência do ID. Diferente de um endereço IP ou token de sessão, ele nunca muda, não é revogável e não depende de conexão com internet ou celular. Um único receptor instalado em um ponto estratégico (como um semáforo ou estacionamento) pode gerar um histórico de movimento tão rico quanto o de apps de navegação, mas sem consentimento, sem aviso e sem mecanismo de opt-out.
Por que isso importa
Essa falha escapa às atuais normas de cibersegurança automotiva, como a UNECE R155 e R156, que não exigem proteção criptográfica para dados de sensores de baixa camada como os TPMS. Enquanto isso, a UE já exige atualizações seguras para sistemas de infotainment e telemática, mas ignora componentes de 'segurança funcional' que agora operam como sensores de localização. Para empresas de frota, o risco vai além da privacidade: padrões de rota previsíveis expõem cargas e horários de entrega. Para governos, a ausência de regulação nessa camada torna inviável fiscalizar vigilância por terceiros, inclusive por entidades não estatais com equipamento acessível.
Perguntas frequentes
Meu carro tem TPMS. Como saber se está vulnerável?
Se for fabricado por Toyota, Mercedes, Renault ou Hyundai, ou qualquer outra marca europeia com sistema TPMS direto (a maioria pós-2014), há alta probabilidade de usar IDs fixos sem criptografia. Não há indicação visual no painel. Modelos com atualizações de firmware via OBD-II ou telemática podem ter correções futuras, mas nenhuma montadora anunciou patch até março de 2026.
Desligar o TPMS resolve o problema?
Não é viável nem seguro. Em muitos países, desativar o sistema gera advertência constante no painel e pode invalidar a garantia ou a vistoria obrigatória. Além disso, alguns veículos impedem a partida se o sistema for desabilitado. A solução técnica exige mudança no firmware do sensor, não uma ação do motorista.
Essa coleta de dados é ilegal?
Depende da jurisdição. Na UE, a GDPR exige consentimento explícito para tratamento de dados de localização pessoal, mas não há precedente claro sobre dados captados via rádio de sensores veiculares. No Brasil, a LGPD poderia ser aplicada, mas falta jurisprudência sobre coleta passiva de sinais sem interação com sistema digital do usuário.
Existe alguma alternativa segura sendo desenvolvida?
Sim. O consórcio AUTOSAR está discutindo extensões para incluir assinatura de mensagens em sensores de baixa potência, e a SAE J2716 foi atualizada em 2025 com recomendações para IDs rotativos. Mas nenhuma dessas medidas está implementada em série em veículos comerciais até hoje.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 06 de março de 2026
- Editoria
- CEVIU Segurança da Informação
