攻击|仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%,多传感器融合系统都失效
鱼羊 萧萧 发自 凹非寺
量子位 报道 | 公众号 QbitAI
自动驾驶领域目前最强的MSF(多传感器融合)定位算法 , 再次被攻破了 。
攻击之下 , 平均30秒内 , 正常行驶中的自动驾驶汽车就撞上了马路牙子:
图片
不仅GPS被忽悠瘸 , LiDAR、轮速计和IMU一起上都没能阻止 。
并且 , 攻击算法的成功率竟然达到了90%以上 。
连多传感器融合定位算法达到SOTA的百度Apollo , 在仿真环境也中了招 。
这项最新研究 , 来自加州大学尔湾分校(UCI) , 目前已发表在信息安全领域四大顶会之一的USENIX Security 2020上 。
多传感器融合如何被忽悠?
GPS欺骗是目前常见的一种攻击手段 , 并且在智能手机、无人机、游艇 , 甚至特斯拉汽车上都能生效 。
有调查显示 , 自2016年以来 , 在俄罗斯就发生过9883起GPS欺骗事件 , 影响了1311个民用船只系统 。
不过 , 在自动驾驶业界 , 研究人员们通常认为多传感器融合(MSF)算法 , 能有效对抗GPS欺骗 。
但加州大学尔湾分校的研究人员们却通过仿真环境测试发现 , 桥豆麻袋 , 这里面还有漏洞可以钻 。
MSF方法安全性分析
研究人员通过实验分析发现 , 由于传感器噪声和算法误差等实际应用中存在的动态因素的影响 , MSF会出现可信度相对降低的窗口期 。
在此期间 , GPS欺骗能够导致MSF输出的偏差呈指数级增长 。 
图片
根据分析日志 , 研究人员发现 , 在这种情况下 , LiDAR输入实际上变成了离群值 , 无法提供修正 。
也就是说 , 被忽悠瘸了的GPS在某种程度上成了自动驾驶汽车定位的主导输入源 , 会导致多传感器交叉验证的机制失效 。
研究人员称此为接管效应(take-off effect) 。
FusionRipper攻击方法
基于接管效应 , 研究人员设计了名为FusionRipper的攻击方法 , 能够抓住接管漏洞出现的窗口期 , 对行驶中的自动驾驶车辆进行攻击 。
攻击方式有两种:
其一 , 是车道偏离攻击 。 目的是让目标自动驾驶汽车向左或向右偏离车道 , 直至驶出路面 。
其二 , 是错道攻击 。 目的是让目标自动驾驶汽车向左偏离 , 驶入逆向车道 。
攻击一旦成功 , 造成的危险是显而易见的:撞上马路牙子 , 掉下公路悬崖 , 撞上对向来车……
图片
需要说明的是 , 在这项研究中 , 研究人员假设攻击者可以发起GPS欺骗来控制目标车辆的GPS定位 , 导致受攻击的GPS接收机输出置信度高但实际误差大的位置信息 。 并且 , 攻击者可以在攻击过程中实时跟踪受害车辆的物理位置 。
攻击方法具体分为两个阶段 。
首先是漏洞分析 。 在这一阶段 , 攻击者开始GPS欺骗 , 并在MSF可信度下降的窗口期出现时 , 测量目标自动驾驶车辆的反馈信息来进行分析 。
识别出窗口期之后 , 就进入攻击性欺骗阶段 , 即攻击者开始进行指数级欺骗 , 以触发接管效应 , 快速诱发出最大偏差 。
FusionRipper有多猛
那么 , 这样的攻击算法 , 成功率有多少呢?
研究者们首先采用了6种真实世界里的传感器 , 在仿真环境中对FusionRipper进行评估 , 每次实验的时间为2分钟 。
其中 , 攻击成功的结果分为偏离正常车道行驶、和驶入逆向车道两种 。 
图片
也就是说 , 在2分钟内 , 如果攻击算法让车子偏离了车道、或是开到了逆向车道上 , 那么攻击就成功了 。
【攻击|仿真环境跟车2分钟 , 就让自动驾驶系统撞上马路牙子 , 攻破率超90% , 多传感器融合系统都失效】如下图 , 两种攻击方式分别可以实现至少97%和91%的成功率 。
推荐阅读
- |科普:什么是重放攻击?
- |比特币突破1.6万美元,DeFi却被攻击不停!项目方:我太难了
- 直播|汪涵直播带货被曝翻车,签约方回应:怀疑遭到了恶意攻击
- 智能机器人,虚拟现实|为汉科技VR(虚拟)焊接+真实焊枪+焊接仿真+VR(虚拟)机器人
- 融资并购|水处理整体解决方案商高频环境完成超亿元融资,凯辉基金领投
- 空气|频出除菌除病毒新品 海尔环境电器产业(零微科技)领跑后疫情时代
- 环境|建筑智能运维转型场景之五:室内环境管理的L0-L4路径
- 空气|加速健康空气全民普及 海尔环境电器产业(零微科技)践行企业责任
- 光热|城市环境所在将CO2光热还原为CO和CH4研究中获进展
- 手机中国|微软将提高Xbox Party Chat的安全性 以应对外部攻击