Исследователи из Университета Дьюка продемонстрировали первую стратегию атаки, которая может обмануть стандартные в отрасли датчики автономных транспортных средств, заставив их поверить в то, что близлежащие объекты находятся ближе (или дальше), чем кажутся, но не обнаружены.
Исследование показывает, что для полной защиты беспилотных автомобилей от атак может потребоваться добавление возможностей оптического 3D или возможности обмена данными с находящимися поблизости автомобилями.
Результаты будут представлены 10-12 августа на симпозиуме по безопасности USENIX 2022 года.
Одной из самых больших проблем, о которой должны беспокоиться исследователи, разрабатывающие автономные системы вождения, является защита от атак. Общепринятая стратегия обеспечения безопасности заключается в сверке данных с разных приборов друг с другом, чтобы убедиться, что их измерения имеют смысл вместе.
Наиболее распространенная технология определения местоположения, используемая сегодня автономными автомобильными компаниями, сочетает в себе 2D-данные с камер и 3D-данные от LiDAR, который по сути представляет собой радар на основе лазера. Эта комбинация оказалась очень надежной против широкого спектра атак, которые пытаются обмануть зрительную систему, заставив ее видеть мир неправильно.
По крайней мере, до сих пор.
«Наша цель - понять ограничения существующих систем, чтобы мы могли защититься от атак», - сказал Мирослав Пайич, доцент кафедры электротехники и компьютерной инженерии семьи Дикинсонов в Duke.«Это исследование показывает, как добавление всего нескольких точек данных в трехмерное облако точек впереди или позади того места, где на самом деле находится объект, может привести к тому, что эти системы будут принимать опасные решения».
Новая стратегия атаки заключается в стрельбе из лазерной пушки по лидарному датчику автомобиля, чтобы добавить ложные данные к его восприятию. Если эти точки данных совершенно не соответствуют тому, что видит камера автомобиля, предыдущие исследования показали, что система может распознать атаку. Но новое исследование, проведенное Паджичем и его коллегами, показывает, что точки данных 3D-лидара, аккуратно размещенные в определенной области поля зрения 2D-камеры, могут обмануть систему.
Эта уязвимая область простирается перед объективом камеры в форме усеченной пирамиды - трехмерной пирамиды с отрезанным концом. В случае фронтальной камеры, установленной на автомобиле, это означает, что несколько точек данных, размещенных перед или позади другого соседнего автомобиля, могут изменить восприятие системы на несколько метров.
«Эта так называемая атака усеченной пирамиды может обмануть адаптивный круиз-контроль, заставив его думать, что автомобиль замедляется или ускоряется», - сказал Паджич. «И к тому времени, когда система сможет понять, что есть проблема, не будет возможности избежать столкновения с машиной без агрессивных маневров, которые могут создать еще больше проблем».
По словам Пайича, нет большого риска, что кто-то потратит время на установку лазеров на автомобиль или придорожный объект, чтобы обмануть отдельные транспортные средства, проезжающие мимо по шоссе. Однако этот риск чрезвычайно возрастает в военных ситуациях, когда одиночные машины могут быть очень важными целями. И если бы хакеры смогли найти способ виртуально создавать эти ложные точки данных вместо использования физических лазеров, многие транспортные средства могли бы быть атакованы одновременно.
Путь к защите от этих атак, по словам Паджича, заключается в дополнительной избыточности. Например, если бы в автомобилях были «стереокамеры» с перекрывающимися полями зрения, они могли бы лучше оценивать расстояния и замечать данные лидара, которые не соответствуют их восприятию.
«Стереокамеры, скорее всего, будут надежной проверкой непротиворечивости, хотя ни одно программное обеспечение не было достаточно проверено для того, чтобы определить, согласуются ли данные с лидара/стереокамеры, или что делать, если обнаружено, что они несовместимы, - сказал Спенсер Халлибертон, кандидат наук в лаборатории киберфизических систем Пайича (CPSL@Duke) и ведущий автор исследования. «Кроме того, для идеальной защиты всего автомобиля потребуется несколько наборов стереокамер вокруг всего его корпуса, чтобы обеспечить 100% охват».
Другой вариант, предлагает Пайич, заключается в разработке систем, в которых автомобили, находящиеся в непосредственной близости друг от друга, обмениваются некоторыми своими данными. Физические атаки вряд ли смогут затронуть несколько автомобилей одновременно, а поскольку автомобили разных марок могут иметь разные операционные системы, кибератака вряд ли сможет поразить все автомобили одним ударом.
«Благодаря всей работе, которая ведется в этой области, мы сможем создавать системы, которым вы можете доверить свою жизнь», - сказал Пажич. «Это может занять 10 с лишним лет, но я уверен, что мы добьемся этого».
CITATION: «Анализ безопасности слияния камеры и LiDAR против атак черных ящиков на автономные транспортные средства», Р. Спенсер Халлибертон, Юпей Лю, Юлонг Цао, З. Морли Мао, Мирослав Пайич. 31-й симпозиум по безопасности USENIX, 10-12 августа 2022 г.