科技 新浪科技 模擬環境跟車2分鐘,就讓自動駕駛系統撞上馬路牙子,攻破率超90%,多感測器融合系統都失效

模擬環境跟車2分鐘,就讓自動駕駛系統撞上馬路牙子,攻破率超90%,多感測器融合系統都失效

原標題:模擬環境跟車2分鐘,就讓自動駕駛系統撞上馬路牙子,攻破率超90%,多感測器融合系統都失效

原創 關注前沿科技 量子位 收錄于話題#自動駕駛5#模擬1#加州大學爾灣分校1

魚羊 蕭蕭 發自 凹非寺

量子位 報道 | 公眾號 QbitAI

自動駕駛領域目前最強的MSF(多感測器融合)定位演算法,再次被攻破了。

攻擊之下,平均30秒內,正常行駛中的自動駕駛汽車就撞上了馬路牙子:

4f64-kaqzmiw1444219.gif

不僅GPS被忽悠瘸,LiDAR、輪速計和IMU一起上都沒能阻止。

並且,攻擊演算法的成功率竟然達到了90%以上。

連多感測器融合定位演算法達到SOTA的百度Apollo,在模擬環境也中了招。

這項最新研究,來自加州大學爾灣分校(UCI),目前已發表在信息安全領域四大頂會之一的USENIX Security 2020上。

多感測器融合如何被忽悠?

GPS欺騙是目前常見的一種攻擊手段,並且在智能手機、無人機、遊艇,甚至特斯拉汽車上都能生效。

有調查顯示,自2016年以來,在俄羅斯就發生過9883起GPS欺騙事件,影響了1311個民用船隻系統。

不過,在自動駕駛業界,研究人員們通常認為多感測器融合(MSF)演算法,能有效對抗GPS欺騙。

但加州大學爾灣分校的研究人員們卻通過模擬環境測試發現,橋豆麻袋,這裏面還有漏洞可以鑽。

MSF方法安全性分析

研究人員通過實驗分析發現,由於感測器雜訊和演算法誤差等實際應用中存在的動態因素的影響,MSF會出現可信度相對降低的窗口期。

在此期間,GPS欺騙能夠導致MSF輸出的偏差呈指數級增長。

59d2-kaqzmiw1444201.jpg

根據分析日誌,研究人員發現,在這種情況下,LiDAR輸入實際上變成了離群值,無法提供修正。

也就是說,被忽悠瘸了的GPS在某種程度上成了自動駕駛汽車定位的主導輸入源,會導致多感測器交叉驗證的機制失效。

研究人員稱此為接管效應(take-off effect)。

FusionRipper攻擊方法

基於接管效應,研究人員設計了名為FusionRipper的攻擊方法,能夠抓住接管漏洞出現的窗口期,對行駛中的自動駕駛車輛進行攻擊。

攻擊方式有兩種:

其一,是車道偏離攻擊。目的是讓目標自動駕駛汽車向左或向右偏離車道,直至駛出路面。

其二,是錯道攻擊。目的是讓目標自動駕駛汽車向左偏離,駛入逆向車道。

攻擊一旦成功,造成的危險是顯而易見的:撞上馬路牙子,掉下公路懸崖,撞上對向來車……

cd81-kaqzmiw1444300.jpg

需要說明的是,在這項研究中,研究人員假設攻擊者可以發起GPS欺騙來控制目標車輛的GPS定位,導致受攻擊的GPS接收機輸出置信度高但實際誤差大的位置信息。並且,攻擊者可以在攻擊過程中實時跟蹤受害車輛的物理位置。

攻擊方法具體分為兩個階段。

首先是漏洞分析。在這一階段,攻擊者開始GPS欺騙,並在MSF可信度下降的窗口期出現時,測量目標自動駕駛車輛的反饋信息來進行分析。

識別出窗口期之後,就進入攻擊性欺騙階段,即攻擊者開始進行指數級欺騙,以觸發接管效應,快速誘發出最大偏差。

FusionRipper有多猛

那麼,這樣的攻擊演算法,成功率有多少呢?

研究者們首先採用了6種真實世界里的感測器,在模擬環境中對FusionRipper進行評估,每次實驗的時間為2分鐘。

其中,攻擊成功的結果分為偏離正常車道行駛、和駛入逆向車道兩種。

6ca2-kaqzmiw1444301.jpg

也就是說,在2分鐘內,如果攻擊演算法讓車子偏離了車道、或是開到了逆向車道上,那麼攻擊就成功了。

如下圖,兩種攻擊方式分別可以實現至少97%和91%的成功率。

7664-kaqzmiw1444344.jpg

也就是說,在FusionRipper的攻擊下,跟車2分鐘內,自動駕駛汽車就有97%的幾率偏離車道行駛,91%的可能開到逆向車道。

不僅如此,與其他攻擊演算法對比的結果發現,FusionRipper甚至能完美攻擊目前「最強的」自動駕駛演算法。

在3種比較先進的MSF演算法上,研究者們將FusionRipper和普通的隨機攻擊演算法進行了對比測試。

下圖是測試的結果,可以看見,在JS-MSF和ETH-MSF這兩種自動駕駛演算法上,普通的隨機攻擊還是很有用的,導致車輛偏離車道的成功率會比導致其逆向行駛的成功率更高。

c000-kaqzmiw1444346.jpg

然而,當普通的隨機攻擊演算法遇上BA-MSF后,就「蔫了」,從圖中顯示的數據結果來看,成功讓汽車偏離車道、或是逆向行駛的幾率,只有3.7%和0.2%。

相對的,FusionRipper演算法卻依舊保持了強勁的勢頭。

即使在面對BA-MSF時,FusionRipper也有97%的幾率讓自動駕駛汽車偏離軌道。

事實上,由於這種演算法對攻擊參數的選擇非常敏感,研究者們提出了一種離線方法,可以在實際攻擊前選出高效的攻擊參數。

當然,這讓攻擊條件本身也受到限制,攻擊者需要擁有與受害者型號相同的自動駕駛車輛,也就是需要有相同的感測器組,攻擊才能被完成。

如下圖,測試結果表明,這種離線方法在攻擊時,最終能成功實現偏離車道和發生逆行的概率都至少能達到80%以上。

65df-kaqzmiw1444408.jpg

聽起來,這個漏洞後果很嚴重,不過研究者表示,能找到解決的辦法。

這種攻擊的根本原理,依舊是GPS信號欺騙。

如果利用現有的GPS信號欺騙檢測技術(例如監控信號功率、基於多天線的信號到達角度檢測、或基於密碼認證的GPS基礎架構),某種程度上可以進行防禦,但這些現有技術,都無法完全解決問題。

從根本上來說,需要提高的是MSF的定位置信率,這是克服系統弱點的唯一方法,但尚不清楚目前何時能實現這樣的突破。

不過,通過獨立的定位源來交叉檢查定位結果、減輕攻擊,仍然是一個可行的方向,其中一種方法就是基於攝像頭的車道檢測。

7cf8-kaqzmiw1444404.jpg

當然,要實現這樣的攻擊,成本其實也並不低。

據作者介紹,硬體方面主要包括兩個部分:價值在2500美元(約合1.7萬人民幣)左右的高端GPS spoofer,以及一輛能夠實時跟車、精準定位目標車輛的自動駕駛車輛。

所以,研究者表示,文中提到這種攻擊演算法可能被應用的一種比較現實的情況,是攻擊者是自動駕駛行業的競爭對手。

瞄準最強自動駕駛開源系統

不挑特斯拉,不選谷歌,團隊這次專門挑了百度的Apollo下手,原因何在?

對此,論文一作、UCI在讀博士生沈駿傑表示,選擇Apollo的原因,其實比較現實:它的系統開源。

882c-kaqzmiw1444447.jpg

Apollo有著目前世界上最大的自動駕駛開源社區,影響範圍廣、便於研究。

當然,選擇Apollo的原因也不僅於此。

百度Apollo MSF(BA MSF),剛好是生產級多感測器融合演算法實現的經典案例。

這次用來實驗的Apollo系統,已經通過了現實中厘米級精度的評估,不僅演算法定位的方式非常先進,而且是基於MSF的定位演算法中「最靚的仔」(SOTA)。

不僅如此,Apollo工程師此前也用實驗證明,其自動駕駛系統可以通過多感測器融合等方式來防禦GPS信號欺騙。

能帶偏毫無防備的自動駕駛系統,那不算什麼。

但,如果能拐跑這種自帶防禦能力的高級系統呢?

在這種情況下,Apollo就算是躺著也能「中槍」了:

研究團隊的演算法,直接就帶偏了「多感測器融合」這一防禦演算法。

0457-kaqzmiw1444448.jpg

他們在實驗時,特意將Apollo作為一個案例,並發現通過特定的GPD信號欺騙方式,可以讓汽車在某些情況下發生大於10m以上的偏移,並且這種攻擊成功率在90%以上。

作者表示,目前他們已經聯繫了29家自動駕駛公司,就這一新攻擊演算法進行了交流。在收到的回復里,已經有17家開始針對這個問題展開調查。其中有1家已經開始著手研發防禦/緩解手段。

這種攻擊有現實可行性嗎?

百度Apollo也同樣和研究團隊進行了一系列溝通。

對於這項技術,Apollo官方回應,在接到研究報告的第一時間,出於對人身安全、無人車安全的極大重視,他們已經在現實環境中對實車進行了測試。

不過,與研究團隊給出的模擬結果不同,Apollo的工程師發現FusionRipper對實車並沒有影響。

e8fc-kaqzmiw1444479.jpg

Apollo方面還進一步進行了解釋:無人車是軟、硬體結合的產物。真正投入運營的車輛,無論是硬體設備還是軟體系統,與實驗室條件完全不同。

在實際測試,Apollo實車採用RTK GPS技術,該技術定位精度在厘米級別,遠高於平常所用的GPS接收器的米級別精度。如果受到論文所假設的欺騙干擾,不能產生厘米級置信度的錯誤RTK。

如果試圖欺騙GNSS接收機併產生錯誤的RTK結果,需要極高的硬體成本,對抗數十個衛星校驗,以及車上雙天線校驗,理論上幾乎不可能完成。最後,Apollo有多感測器融合和GPS偽造檢測能力輔助識別欺騙。

另外,Apollo工程師指出,該項研究採用的Apollo MSF是2018版本,之所以能在模擬場景中攻擊成功,是因為當時版本中的MSF並未實時將LiDAR等感測器數據與GNSS位置信息進行強校驗。

而在最新的工程實踐中,Apollo已經對此完成了優化。即使攻擊者通過近距離長期尾隨自動駕駛車輛,並持續發射GPS欺騙信號,導致無人車車載高精度接收機的所有通道都被欺騙,最終位置輸出偏差,MSF也可以通過新增的相對穩定、不受外界干擾的激光定位作為觀測值強校驗,進行規避。

Apollo方面還建議,類似的硬體安全研究,應該在真實環境中進行進一步測試,以便最終落地工業。為此,Apollo未來也計劃與各個高校建立合作。

說到底,把自動駕駛車輛忽悠瘸,本就不是攻防研究的本質目的。

挖掘現有方法背後的安全問題,讓自動駕駛系統更加安全,才是相關研究的意義所在。

相信開放的技術交流、合作,也會讓我們離更加安全的自動駕駛更進一步。

你說呢?

傳送門:

項目鏈接:https://sites.google.com/view/cav-sec/fusionripper