信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

最近披露的致命性黑客攻擊為包括特斯拉和百度在內(nèi)的自動駕駛廠商敲響了警鐘。

4月底特斯拉CEO馬斯克來華推動FSD自動駕駛在中國的落地，特斯拉也順利成為首個通過全部4項中國汽車數(shù)據(jù)安全合規(guī)要求的外資車企。

FSD本身的“進化“也非常順利。特斯拉表示，2024年第一季度特斯拉FSD真實路況總里程已達12.5億英里（約20億公里），有望在5月底達到20億英里，并在一年之內(nèi)達到60億英里總量（馬斯克曾表示60億英里是FSD系統(tǒng)實現(xiàn)質(zhì)變的一個重要節(jié)點）。

黑客攻擊可導(dǎo)致致命車禍

近日，對FSD安全性信心十足馬斯克遭遇當(dāng)頭一棒，特斯拉自動駕駛系統(tǒng)FSD（以及類似的基于視覺傳感器方案的自動駕駛技術(shù)，例如百度Apollo項目）正面臨一個全新的威脅。

新加坡安全研究人員發(fā)現(xiàn)了一種新的攻擊方法，可以利用自動駕駛汽車攝像頭傳感器的弱點來欺騙汽車，甚至人為制造致命車禍（例如在停車讓行路口讓汽車沖上主路）。避免該攻擊可能需要廠商更換自動駕駛視覺方案中的硬件組件。

該方法代號GhostStripe（論文鏈接在文末），可以通過向道路交通標志投射特殊的光線圖案來干擾自動駕駛汽車的攝像頭，使其無法識別標志。研究人員表示，該方法對特斯拉和百度Apollo等使用CMOS攝像頭的自動駕駛汽車特別有效。

攻擊技術(shù)細節(jié)

GhostStripe屬于針對機器學(xué)習(xí)技術(shù)的對抗性攻擊，利用了CMOS攝像頭卷簾快門的弱點。CMOS攝像頭逐行捕捉圖像，這意味著圖像的不同部分可能由不同光照條件下的傳感器像素拍攝。研究人員利用這一點，向交通標志投射快速閃爍的不同顏色光線。由于每個像素接收的光線顏色不同，因此最終圖像將出現(xiàn)奇怪的條紋圖案（下圖）：

對自動駕駛汽車交通標志識別的“隱形”對抗攻擊來源：GhostStripe論文

結(jié)果是相機捕捉到的交通標識圖像布滿了與預(yù)期不匹配的線條，導(dǎo)致這些圖片被裁剪并發(fā)送到汽車自動駕駛軟件中的分類器（通?；谏疃壬窠?jīng)網(wǎng)絡(luò)）進行分析時，分類器不會將該圖像識別為交通標志，因此車輛不會對其進行操作（從而可能釀成重大車禍）。

GhostStripe攻擊有兩種版本：

GhostStripe1：無需物理訪問汽車。采用跟蹤系統(tǒng)來監(jiān)控目標車輛的實時位置，并相應(yīng)地動態(tài)調(diào)整LED閃爍，以確保標志無法被正確讀取。

GhostStripe2：需要物理訪問汽車，在攝像機的電源線上放置一個傳感器來檢測取景時刻并完善定時控制以實現(xiàn)近乎完美的攻擊。

攻擊成功率超過九成

研究團隊在配備Leopard Imaging AR023ZWDR（百度Apollo硬件參考設(shè)計中使用的相機）的真實道路和汽車上測試了GhostStripe攻擊，發(fā)現(xiàn)其對停止、限速和讓行標志的有效率分別為94%（第一種攻擊方法）和97%（第二種攻擊方法）。

值得注意的是，強光環(huán)境會降低攻擊的成功率，因為攻擊光被環(huán)境光淹沒了。研究團隊表示，不法分子在計劃實施此類攻擊時需要仔細挑選時間和地點。

緩解措施

研究者表示，自動駕駛汽車制造商可以采取以下措施來緩解GhostStripe攻擊：

●使用全局快門攝像頭而不是卷簾快門攝像頭。

●隨機化攝像頭曝光時間（隨機線掃描）。

●采用更多攝像頭交叉驗證。

●在自動駕駛汽車的AI系統(tǒng)中加入對抗訓(xùn)練，使其能夠識別和抵御GhostStripe攻擊。

點評：合規(guī)并不代表安全

GhostStripe攻擊突顯了（全）自動駕駛汽車面臨的安全威脅的復(fù)雜性和不確定性，這并不是馬斯克的“60億英里“自動駕駛里程能夠一勞永逸解決的問題。自動駕駛技術(shù)也許能夠超越平庸的司機，但同時也增加了復(fù)雜的數(shù)字攻擊面。

GhostStripe可用于發(fā)起致命攻擊，而這只是自動駕駛技術(shù)面臨的黑客攻擊的冰山一角。數(shù)據(jù)安全合規(guī)并不代表網(wǎng)絡(luò)安全合規(guī)，網(wǎng)絡(luò)安全合規(guī)并不代表“產(chǎn)品安全”，汽車行業(yè)需要與網(wǎng)絡(luò)安全行業(yè)深度合作，通過全面、持續(xù)、深入的”滲透測試“和安全加固，才能打造出真正安全可靠的自動駕駛技術(shù)。