UCI研究人員利用漏洞攻破多傳感器融合定位算法

自動(dòng)駕駛領(lǐng)域目前最強(qiáng)的MSF(多傳感器融合)定位算法，再次被攻破了。

攻擊之下，平均30秒內(nèi)，正常行駛中的自動(dòng)駕駛汽車就撞上了馬路牙子：

不僅GPS被忽悠瘸，LiDAR、輪速計(jì)和IMU一起上都沒能阻止。

并且，攻擊算法的成功率竟然達(dá)到了90%以上。

連多傳感器融合定位算法達(dá)到SOTA的百度Apollo，在仿真環(huán)境也中了招。

這項(xiàng)最新研究，來自加州大學(xué)爾灣分校(UCI)，目前已發(fā)表在信息安全領(lǐng)域四大頂會(huì)之一的USENIX Security 2020上。

多傳感器融合如何被忽悠?

GPS欺騙是目前常見的一種攻擊手段，并且在智能手機(jī)、無人機(jī)、游艇，甚至特斯拉汽車上都能生效。

有調(diào)查顯示，自2016年以來，在俄羅斯就發(fā)生過9883起GPS欺騙事件，影響了1311個(gè)民用船只系統(tǒng)。

不過，在自動(dòng)駕駛業(yè)界，研究人員們通常認(rèn)為多傳感器融合(MSF)算法，能有效對抗GPS欺騙。

但加州大學(xué)爾灣分校的研究人員們卻通過仿真環(huán)境測試發(fā)現(xiàn)，橋豆麻袋，這里面還有漏洞可以鉆。

MSF方法安全性分析

研究人員通過實(shí)驗(yàn)分析發(fā)現(xiàn)，由于傳感器噪聲和算法誤差等實(shí)際應(yīng)用中存在的動(dòng)態(tài)因素的影響，MSF會(huì)出現(xiàn)可信度相對降低的窗口期。

在此期間，GPS欺騙能夠?qū)е翸SF輸出的偏差呈指數(shù)級增長。

根據(jù)分析日志，研究人員發(fā)現(xiàn)，在這種情況下，LiDAR輸入實(shí)際上變成了離群值，無法提供修正。

也就是說，被忽悠瘸了的GPS在某種程度上成了自動(dòng)駕駛汽車定位的主導(dǎo)輸入源，會(huì)導(dǎo)致多傳感器交叉驗(yàn)證的機(jī)制失效。

研究人員稱此為接管效應(yīng)(take-off effect)。

FusionRipper攻擊方法

基于接管效應(yīng)，研究人員設(shè)計(jì)了名為FusionRipper的攻擊方法，能夠抓住接管漏洞出現(xiàn)的窗口期，對行駛中的自動(dòng)駕駛車輛進(jìn)行攻擊。

攻擊方式有兩種：

其一，是車道偏離攻擊。目的是讓目標(biāo)自動(dòng)駕駛汽車向左或向右偏離車道，直至駛出路面。

其二，是錯(cuò)道攻擊。目的是讓目標(biāo)自動(dòng)駕駛汽車向左偏離，駛?cè)肽嫦蜍嚨馈?/p>

攻擊一旦成功，造成的危險(xiǎn)是顯而易見的：撞上馬路牙子，掉下公路懸崖，撞上對向來車……

需要說明的是，在這項(xiàng)研究中，研究人員假設(shè)攻擊者可以發(fā)起GPS欺騙來控制目標(biāo)車輛的GPS定位，導(dǎo)致受攻擊的GPS接收機(jī)輸出置信度高但實(shí)際誤差大的位置信息。并且，攻擊者可以在攻擊過程中實(shí)時(shí)跟蹤受害車輛的物理位置。

攻擊方法具體分為兩個(gè)階段。

首先是漏洞分析。在這一階段，攻擊者開始GPS欺騙，并在MSF可信度下降的窗口期出現(xiàn)時(shí)，測量目標(biāo)自動(dòng)駕駛車輛的反饋信息來進(jìn)行分析。

識(shí)別出窗口期之后，就進(jìn)入攻擊性欺騙階段，即攻擊者開始進(jìn)行指數(shù)級欺騙，以觸發(fā)接管效應(yīng)，快速誘發(fā)出最大偏差。

FusionRipper有多猛

那么，這樣的攻擊算法，成功率有多少呢?

研究者們首先采用了6種真實(shí)世界里的傳感器，在仿真環(huán)境中對FusionRipper進(jìn)行評估，每次實(shí)驗(yàn)的時(shí)間為2分鐘。

其中，攻擊成功的結(jié)果分為偏離正常車道行駛、和駛?cè)肽嫦蜍嚨纼煞N。

也就是說，在2分鐘內(nèi)，如果攻擊算法讓車子偏離了車道、或是開到了逆向車道上，那么攻擊就成功了。

如下圖，兩種攻擊方式分別可以實(shí)現(xiàn)至少97%和91%的成功率。

也就是說，在FusionRipper的攻擊下，跟車2分鐘內(nèi)，自動(dòng)駕駛汽車就有97%的幾率偏離車道行駛，91%的可能開到逆向車道。

不僅如此，與其他攻擊算法對比的結(jié)果發(fā)現(xiàn)，F(xiàn)usionRipper甚至能完美攻擊目前「最強(qiáng)的」自動(dòng)駕駛算法。

在3種比較先進(jìn)的MSF算法上，研究者們將FusionRipper和普通的隨機(jī)攻擊算法進(jìn)行了對比測試。

下圖是測試的結(jié)果，可以看見，在JS-MSF和ETH-MSF這兩種自動(dòng)駕駛算法上，普通的隨機(jī)攻擊還是很有用的，導(dǎo)致車輛偏離車道的成功率會(huì)比導(dǎo)致其逆向行駛的成功率更高。

然而，當(dāng)普通的隨機(jī)攻擊算法遇上BA-MSF后，就「蔫了」，從圖中顯示的數(shù)據(jù)結(jié)果來看，成功讓汽車偏離車道、或是逆向行駛的幾率，只有3.7%和0.2%。

相對的，F(xiàn)usionRipper算法卻依舊保持了強(qiáng)勁的勢頭。

即使在面對BA-MSF時(shí)，F(xiàn)usionRipper也有97%的幾率讓自動(dòng)駕駛汽車偏離軌道。

事實(shí)上，由于這種算法對攻擊參數(shù)的選擇非常敏感，研究者們提出了一種離線方法，可以在實(shí)際攻擊前選出高效的攻擊參數(shù)。

當(dāng)然，這讓攻擊條件本身也受到限制，攻擊者需要擁有與受害者型號(hào)相同的自動(dòng)駕駛車輛，也就是需要有相同的傳感器組，攻擊才能被完成。

如下圖，測試結(jié)果表明，這種離線方法在攻擊時(shí)，最終能成功實(shí)現(xiàn)偏離車道和發(fā)生逆行的概率都至少能達(dá)到80%以上。

聽起來，這個(gè)漏洞后果很嚴(yán)重，不過研究者表示，能找到解決的辦法。

這種攻擊的根本原理，依舊是GPS信號(hào)欺騙。

如果利用現(xiàn)有的GPS信號(hào)欺騙檢測技術(shù)(例如監(jiān)控信號(hào)功率、基于多天線的信號(hào)到達(dá)角度檢測、或基于密碼認(rèn)證的GPS基礎(chǔ)架構(gòu))，某種程度上可以進(jìn)行防御，但這些現(xiàn)有技術(shù)，都無法完全解決問題。

從根本上來說，需要提高的是MSF的定位置信率，這是克服系統(tǒng)弱點(diǎn)的唯一方法，但尚不清楚目前何時(shí)能實(shí)現(xiàn)這樣的突破。

不過，通過獨(dú)立的定位源來交叉檢查定位結(jié)果、減輕攻擊，仍然是一個(gè)可行的方向，其中一種方法就是基于攝像頭的車道檢測。

當(dāng)然，要實(shí)現(xiàn)這樣的攻擊，成本其實(shí)也并不低。

據(jù)作者介紹，硬件方面主要包括兩個(gè)部分：價(jià)值在2500美元(約合1.7萬人民幣)左右的高端GPS spoofer，以及一輛能夠?qū)崟r(shí)跟車、精準(zhǔn)定位目標(biāo)車輛的自動(dòng)駕駛車輛。

所以，研究者表示，文中提到這種攻擊算法可能被應(yīng)用的一種比較現(xiàn)實(shí)的情況，是攻擊者是自動(dòng)駕駛行業(yè)的競爭對手。

瞄準(zhǔn)最強(qiáng)自動(dòng)駕駛開源系統(tǒng)

不挑特斯拉，不選谷歌，團(tuán)隊(duì)這次專門挑了百度的Apollo下手，原因何在?

對此，論文一作、UCI在讀博士生沈駿杰表示，選擇Apollo的原因，其實(shí)比較現(xiàn)實(shí)：它的系統(tǒng)開源。

Apollo有著目前世界上最大的自動(dòng)駕駛開源社區(qū)，影響范圍廣、便于研究。

當(dāng)然，選擇Apollo的原因也不僅于此。

百度Apollo MSF(BA MSF)，剛好是生產(chǎn)級多傳感器融合算法實(shí)現(xiàn)的經(jīng)典案例。

這次用來實(shí)驗(yàn)的Apollo系統(tǒng)，已經(jīng)通過了現(xiàn)實(shí)中厘米級精度的評估，不僅算法定位的方式非常先進(jìn)，而且是基于MSF的定位算法中「最靚的仔」(SOTA)。

不僅如此，Apollo工程師此前也用實(shí)驗(yàn)證明，其自動(dòng)駕駛系統(tǒng)可以通過多傳感器融合等方式來防御GPS信號(hào)欺騙。

能帶偏毫無防備的自動(dòng)駕駛系統(tǒng)，那不算什么。

但，如果能拐跑這種自帶防御能力的高級系統(tǒng)呢?

在這種情況下，Apollo就算是躺著也能「中槍」了：

研究團(tuán)隊(duì)的算法，直接就帶偏了「多傳感器融合」這一防御算法。

他們在實(shí)驗(yàn)時(shí)，特意將Apollo作為一個(gè)案例，并發(fā)現(xiàn)通過特定的GPD信號(hào)欺騙方式，可以讓汽車在某些情況下發(fā)生大于10m以上的偏移，并且這種攻擊成功率在90%以上。

作者表示，目前他們已經(jīng)聯(lián)系了29家自動(dòng)駕駛公司，就這一新攻擊算法進(jìn)行了交流。在收到的回復(fù)里，已經(jīng)有17家開始針對這個(gè)問題展開調(diào)查。其中有1家已經(jīng)開始著手研發(fā)防御/緩解手段。

這種攻擊有現(xiàn)實(shí)可行性嗎?

百度Apollo也同樣和研究團(tuán)隊(duì)進(jìn)行了一系列溝通。

對于這項(xiàng)技術(shù)，Apollo官方回應(yīng)，在接到研究報(bào)告的第一時(shí)間，出于對人身安全、無人車安全的極大重視，他們已經(jīng)在現(xiàn)實(shí)環(huán)境中對實(shí)車進(jìn)行了測試。

不過，與研究團(tuán)隊(duì)給出的仿真結(jié)果不同，Apollo的工程師發(fā)現(xiàn)FusionRipper對實(shí)車并沒有影響。

Apollo方面還進(jìn)一步進(jìn)行了解釋：無人車是軟、硬件結(jié)合的產(chǎn)物。真正投入運(yùn)營的車輛，無論是硬件設(shè)備還是軟件系統(tǒng)，與實(shí)驗(yàn)室條件完全不同。

在實(shí)際測試，Apollo實(shí)車采用RTK GPS技術(shù)，該技術(shù)定位精度在厘米級別，遠(yuǎn)高于平常所用的GPS接收器的米級別精度。如果受到論文所假設(shè)的欺騙干擾，不能產(chǎn)生厘米級置信度的錯(cuò)誤RTK。

如果試圖欺騙GNSS接收機(jī)并產(chǎn)生錯(cuò)誤的RTK結(jié)果，需要極高的硬件成本，對抗數(shù)十個(gè)衛(wèi)星校驗(yàn)，以及車上雙天線校驗(yàn)，理論上幾乎不可能完成。最后，Apollo有多傳感器融合和GPS偽造檢測能力輔助識(shí)別欺騙。

另外，Apollo工程師指出，該項(xiàng)研究采用的Apollo MSF是2018版本，之所以能在仿真場景中攻擊成功，是因?yàn)楫?dāng)時(shí)版本中的MSF并未實(shí)時(shí)將LiDAR等傳感器數(shù)據(jù)與GNSS位置信息進(jìn)行強(qiáng)校驗(yàn)。

而在最新的工程實(shí)踐中，Apollo已經(jīng)對此完成了優(yōu)化。即使攻擊者通過近距離長期尾隨自動(dòng)駕駛車輛，并持續(xù)發(fā)射GPS欺騙信號(hào)，導(dǎo)致無人車車載高精度接收機(jī)的所有信道都被欺騙，最終位置輸出偏差，MSF也可以通過新增的相對穩(wěn)定、不受外界干擾的激光定位作為觀測值強(qiáng)校驗(yàn)，進(jìn)行規(guī)避。

Apollo方面還建議，類似的硬件安全研究，應(yīng)該在真實(shí)環(huán)境中進(jìn)行進(jìn)一步測試，以便最終落地工業(yè)。為此，Apollo未來也計(jì)劃與各個(gè)高校建立合作。

說到底，把自動(dòng)駕駛車輛忽悠瘸，本就不是攻防研究的本質(zhì)目的。

挖掘現(xiàn)有方法背后的安全問題，讓自動(dòng)駕駛系統(tǒng)更加安全，才是相關(guān)研究的意義所在。

相信開放的技術(shù)交流、合作，也會(huì)讓我們離更加安全的自動(dòng)駕駛更進(jìn)一步。