GhostStripe: хакеры заставили автопилот Tesla нарушить ПДД

Группа ученых из Сингапура разработаласпособ вмешательства в работу автономных автомобилей, использующих компьютерное зрение для распознавания дорожных знаков. Новая методика GhostStripe может быть опасной для водителей Tesla и Baidu Apollo.

Основная идея GhostStripe заключается в использовании LED-светодиодов для создания световых паттернов на дорожных знаках. Паттерны невидимы для человеческого глаза, но они сбивают с толку камеры автомобиля. Суть атаки состоит в том, что светодиоды быстро мигают различными цветами, когда камера срабатывает, и из-за этого на изображении появляются искажения.

Искажения возникают из-за особенностей цифрового затвора CMOS-камер. Камеры с таким затвором поэтапно сканируют изображение, и мигающие светодиоды создают различные оттенки на каждом этапе сканирования. В результате получается изображение, которое не соответствует реальности. Например, красный цвет знака “Стоп” может выглядеть по-разному на каждой строке сканирования.

Когда такая искаженная картинка попадает в классификатор автомобиля, основанный на глубоких нейронных сетях, система не может распознать знак и не реагирует на него должным образом. Подобные методы атак уже были известны, но команда исследователей смогла добиться стабильных и повторяемых результатов, что делает атаку практичной в реальных условиях.

Исследователи разработали две версии атаки:

· GhostStripe1 не требует доступа к автомобилю и использует систему отслеживания для мониторинга местоположения транспортного средства в реальном времени. Это позволяет динамически настраивать мигание светодиодов, чтобы знак не распознавался.

· GhostStripe2 требует физического доступа к автомобилю. В этом случае на провод питания камеры устанавливается преобразователь, который фиксирует моменты сканирования изображения и точно контролирует время атаки. Это позволяет атаковать конкретное транспортное средство и управлять результатами распознавания знаков.

Команда протестировала систему на реальных дорогах с использованием камеры Leopard Imaging AR023ZWDR, которая используется в оборудовании Baidu Apollo. Тесты проводились на знаках “Стоп”, “Уступи дорогу” и ограничениях скорости. GhostStripe1 показал 94% успеха, а GhostStripe2 – 97%.

Одним из факторов, влияющих на эффективность атаки, является сильное окружающее освещение, которое снижает результативность. Исследователи отметили, что для успешной атаки злоумышленники должны тщательно выбирать время и место.

Существуют контрмеры, которые могут снизить уязвимость. Например, можно заменить CMOS-камеры с цифровым затвором на сенсоры, которые делают снимок целиком за один раз, или рандомизировать сканирование слоев. Дополнительные камеры также могут снизить вероятность успешной атаки или потребовать более сложных методов. Еще одной мерой может стать обучение нейронных сетей распознавать подобные атаки.

Public Release.