導語:騰訊科恩實驗室以特斯拉Model S(軟件版本2018.6.1)為對象,針對其搭載的Autopilot系統進行安全研究,發現了自動駕駛系統的雨刷、車道的視覺識別缺陷和遙控器操控車輛行駛過程存在的問題。
研究簡介
隨著人工智能技術的快速發展,高級輔助駕駛相關技術正在汽車領域逐步落地,高級輔助駕駛相關安全也吸引了大眾的廣泛關注。
騰訊科恩實驗室以特斯拉Model S(軟件版本2018.6.1)為對象,針對其搭載的Autopilot系統進行安全研究,發現了自動駕駛系統的雨刷、車道的視覺識別缺陷和遙控器操控車輛行駛過程存在的潛在安全風險。
雨刷的視覺識別攻擊
特斯拉Autopilot系統藉助圖像識別技術,通過識別外部天氣狀況實現自動雨刷功能。科恩實驗室通過研究發現,利用AI對抗樣本生成技術生成特定圖像並進行干擾時,該系統輸出了“錯誤”的識別結果,導致車輛雨刷啟動。
特斯拉自動雨刷功能的視覺神經網絡
具體來看,120度fisheye攝像頭會獲取雨刷的圖片,然後將數據發送給負責預處理的單獨的神經網絡。神經網絡會給出一個表示雨刷上潮溼度的概率值,在0~1之間。
為了模擬雨滴的掉落,研究人員通過向攝像頭展示一個偽造的圖片就得到了想要的效果。雖然在現實情況下比較難以利用,但這並不是不可實現的。
車道的識別攻擊
特斯拉Autopilot系統通過識別道路交通標線,實現對車道的識別和輔助控制。科恩實驗室通過研究發現,在路面部署干擾信息後,可導致車輛經過時對車道線做出錯誤判斷,致使車輛駛入反向車道。
Tesla的自動駕駛特徵使用複雜的計算機網絡來實時翻譯環境數據以進行相應地操作。而環境數據的收集主要是通過攝像頭、超聲傳感器和雷達。負責導航的的是檢測和追蹤(detect_and_track),它也會將數據提供給CUDA Kernel來正確判斷和翻譯路標。
上圖介紹了Tesla在當前車道中確定車道的過程,這也同樣適用於車道偏離告警。
基於以上信息,自動駕駛汽車可以構建一個虛擬地圖,為其他組件創建一個實時的高清地圖。所以如果系統被欺騙檢測到虛假的車道,汽車就會進入該車道並相信這是一個合法的車道標記。
研究人員稱在測試區域進行小面積地塗改就可以欺騙Tesla Autopilot的視覺檢測模塊。通過這種攻擊,汽車的視覺模塊可以將這些偽造的車輛識別為真實的車道並允許Autosteer模塊來進入。在實驗過程中,車輛自動駕駛系統就被欺騙而偏離了正常行駛方向。
研究人員稱因為Tesla汽車完全依賴計算機視覺解決方案來檢測車道,因此這類攻擊很容易實現,而且所需的材料也很容易獲得。而且這類識別架構存在安全風險,在非封閉車道中進行自動駕駛時尤其需要注意車道識別的問題。
用遙控器操控車輛行駛
研究人員在2018年的Blackhat大會上就證明了可以利用其他組件的漏洞來獲取Autopilot ECU (APE)的root訪問權限。在本實驗中,研究人員深入分析汽車網絡並嘗試獲取駕駛系統的遠程控制權限。
科恩實驗室研究人員利用已知漏洞在特斯拉Model S(版本2018.6.1)獲取Autopilot控制權之後,通過實驗證明,即使Autopilot系統沒有被車主主動開啟,也可以利用Autopilot功能實現通過遊戲手柄對車輛行駛方向進行操控。
有漏洞的固件版本為version 2018.6.1,在之後發佈的2018.24版本中已經修復了該漏洞。
在獲取了APE的root訪問權限後,研究人員可以通過任意的CAN消息來影響汽車的Electric Power Assisted Steering (EPAS)單元並在不同的駕駛模式下控制它。駕駛制定是從手機設備上發送的,因此可以將控制信號翻譯成駕駛系統的對應命令。
研究人員還使用通過藍牙連接手機的遊戲控制器來控制汽車。
研究人員發現在不同的駕駛模式下,該攻擊會有不同的效果:
· 當汽車處於停止狀態時,研究人員可以沒有任何限制地控制駕駛系統;
· 當汽車從R轉為D模式時,APE會認為汽車處於APC(Automatic Parking Control)模式,研究人員可以在8KM/h的速度控制駕駛系統;
· 當汽車處於ACC高速巡航模式時,研究人員可以沒有任何限制地控制駕駛系統。
騰訊科恩實驗室PoC視頻:https://v.qq.com/x/page/l08556h0co6.html
更多技術細節參見白皮書Experimental Security Research of Tesla Autopilot https://keenlab.tencent.com/en/whitepapers/Experimental_Security_Research_of_Tesla_Autopilot.pdf
