“催眠”特斯拉,这样疯狂的事情,也许只有在世界顶级黑客会议 DEF CON 上才能看到。而且,没错,又是中国黑客干的。
先来说说特斯拉辅助驾驶(AutoPilot)。这个让埃隆·马斯克引以为傲的系统,已经在全世界的特斯拉汽车上大规模应用。这个系统可以实现自动跟车,自动转向,甚至在堵车的时候,也可以自动跟着前车反复启停。
讲真,辅助驾驶系统的可用性非常高。诸多特斯拉车主已经尝试过在早高峰把车开上北京的二环,打开辅助驾驶,闭目养身半小时之后再切换成手动模式驶离主路。
然而,可用性和可靠性在某些特殊的时刻,并不那么协调。
【因为辅助驾驶导致严重事故的特斯拉】
这辆特斯拉生前的最后一刻,正是开启了辅助驾驶模式,据说,系统把横在前方的纯白色卡车识别为了远方的大楼或广告牌。
【特斯拉事故示意图】
而就在前两天,中国特斯拉自动驾驶的“首撞”也发生在北京北五环上。
频发的撞车事故至少说明一点,那就是辅助驾驶系统还有诸多设计缺陷。而来自中国的黑客们,用实际的攻击测试,证明了辅助驾驶系统远不是“偶尔失灵”这么简单。稍不留意,它就可能被人利用,有计划地发起各种“惨烈”的攻击。
【闫琛(画左)&刘健皓(画右)】
刘健皓,360汽车信息安全团队负责人,中国特斯拉破解第一人;
闫琛,浙江大学博士,智能系统安全实验室成员,著名的汽车黑客。
正是他们带领团队全球首次用实车实现攻击特斯拉自动驾驶系统。
刘健皓为雷锋网(公众号:雷锋网)详细介绍了特斯拉辅助驾驶系统的工作原理。
【汽车自动驾驶系统所用到的所有传感器,包括远距离雷达、超声波传感器、可见光传感器、激光雷达。其测量范围,精准度和有效距离各有优劣,一般组合使用。】
特斯拉的眼睛:各类传感器
辅助驾驶实现的首要一点就是:认清周围的环境。
为了实现这一点,特斯拉选用了三种不同的“眼睛”:
【毫米波雷达】
毫米波雷达:
特斯拉装配的雷达,频率高达77GHz,这个超高频段的技术,曾经作为美国军方的保密技术,禁止对华出售。雷达被安装在特斯拉的前部,用以探测远距离的障碍物,可以识别最远达到150米的障碍物。
【超声波传感器和在车上的位置】
超声波传感器:
特斯拉周身布满12玫超声波传感器,用以感知车身周围大概五米范围的障碍物。
【高清摄像头在特斯拉上的位置和显示效果】
高清摄像头:
这是特斯拉的诸多“眼睛”中唯一可以识别可见光的。摄像头被放置在汽车前面,用以识别车道线和限速、禁行一类的道路标志。
刘健皓说,辅助驾驶系统就是根据这些传感器采集的数据,通过自动驾驶的算法,实现规划路径和自动巡航等所有功能。
他和闫琛的攻击思路非常清晰:只要黑掉这些传感器,让数据的错误进入系统,就一定会产生严重攻击效果。
通俗来说,他们要做的就是“催眠”特斯拉。让这部世界上最先进的自动驾驶汽车
看到不存在的东西;
或者看不到存在的东西。
由此进入可怕的“梦魇”状态。
【特斯拉 Model S车身上所有传感器的位置(蓝色为毫米波雷达,灰色为摄像头,红色为超声波传感器)】
干掉超声波传感器
由于超声波传感器主要分布在车身周围,而且主要用来判断近距离物体的信息。所以在实际应用中,它们的主要作用是感知附近有没有障碍物向自己靠拢,从而向相反方向进行规避。
闫琛告诉雷锋网:
经过逆向研究,我们发现特斯拉使用的超声波传感器发射的波长为 40Khz,而这种波长的超声波在现实世界里并不常见。例如摇动钥匙串或者大卡车制动的时候,都会发出这样的超声波。
但是由于现实世界中的 40Khz 超声波不会长时间持续,强度也没有那么大,所以看样子特斯拉并没有认真研究人造超声波对辅助驾驶系统的影响。
【刘健皓&闫琛&他们的超声波干扰器】
噪音攻击
他们于是尝试对特斯拉的超声波传感器实行一种噪音攻击(Jamming)。简单来说就是用更大的强度播放同样波长的噪音,这样就会使得超声波感应器无法回收自己发出的信号,从而没有办法测量周围物体的举例。
让人惊奇的是,在这种情况下,特斯拉并没有选择提示用户切换回手动模式,反而继续按照原速运动。此时如果有物体靠近特斯拉,即使发生碰撞,它都不会有任何反应动作。
【噪音攻击超声波传感器的实验现场】
欺骗攻击
通过信号分析仪进一步破解超声波信号,刘健皓和闫琛完全掌握了超声波的结构,于是他们尝试用信号发射装置欺骗传感器。
“实诚”的特斯拉果然上当,会向决策系统传递虚假的信号。于是在空无一车的地下车库,居然启动了自动跟车模式;
而当刘健皓向特斯拉发出了前方近距离有障碍物的虚拟信号后,特斯拉猛然来了一个刹车。
【传感器的数据最终会导致对汽车的刹车、方向盘、油门行为的控制】
“肉包子打狗”攻击
黑客们找来了超声波吸附材料。超声波信号碰到这种海绵状材料,可谓肉包子打狗——有去无回。在试验中,无论什么凶险的障碍物,只要笼罩超声波吸附材料,在特斯拉眼中一律是一马平川,不撞南墙死不回头。
当然,刘健皓也觉得目前的吸波材料过于厚重,在现实中用来攻击有点搞笑。不过他说:“在未来如果实现材料的轻薄甚至透明,这种攻击就会变得非常危险了。”
【在演示视频中,闫琛躲在吸波材料里,传感器并未感知】
干掉毫米波雷达
毫米波雷达是诸多特斯拉传感器中,最为精密的一个了。77GHz 的超高频率已经超出一般仪器可以解析的范围。
闫琛告诉雷锋网,单单是借来研究毫米波雷达的设备,就可以买三辆特斯拉。刘健皓甚至开玩笑说,借这台设备是整个研究中的一个最大难点。
【毫米波攻击设备BCDE和特斯拉毫米波雷达的位置A】
然而,有了分析设备,只是万里长征的第一步。对 77GHz 的超高频信号进行降频之后的分析,也是一个非常艰难的过程。
对于毫米波雷达,同样可以实现噪音攻击和欺骗攻击。也就是说,可以让特斯拉在高速行驶中,完全忽略前面的障碍物,也可以凭空让特斯拉紧急制动。
理论上来说,这样的攻击可以在几十米开外进行。就像用手枪射击标靶。不过毫米波发射器的波束比较集中,在实际攻击中,要完美击中汽车的雷达,这需要非常好的精确度。“不过只要有足够的资金购买高级的设备,这些限制都不是问题。”闫琛说。
【毫米波雷达被攻击后,前车从仪表盘上瞬间消失,如果处于自动驾驶状态,后果不堪设想】
干掉光学传感器(高清摄像头)
也许对于摄像头的攻击是唯一一种普通人都可以玩转的攻击。你只需要一个大功率手电,猛烈照射摄像头,就会造成它的短暂致盲,这个特性和所有的摄像头,以及人眼的原理都是一致的。
文章开头提到的特斯拉撞击卡车的案例,就是因为卡车车厢白得一尘不染,导致摄像头犯了“雪盲症”,既无法找到前方的车道线和标志,也无法判断这个物体的真实属性。所以才酿成车祸(你可能要问先进的毫米波雷达当时在做神马。没错,卡车太高了以至于雷达信号从车底完美躲过)。
当然,特斯拉的摄像头也支持红外夜视,所以用红外线手电照射摄像头,同样会导致它“失明”。
【使用 LED 灯或激光笔,对特斯拉的攻击成本都在10美元左右】
特斯拉怎么说
在此次 DEF CON 演讲之前大约一个月,刘健皓和闫琛已经把这组缺陷打包提交给了特斯拉。而特斯拉在两周前专门和这个黑客团队进行了一个小时的电话会议。
虽然最后的结论并不很振奋人心:特斯拉表示还要再花时间评估一下这些缺陷在实际情况中对于安全的威胁程度。
不过,刘健皓认为这些缺陷非常值得引起注意:
从前的汽车传感器只是作为人类驾驶的一个参考,并不直接影响驾驶的决策。而特斯拉的辅助驾驶系统让传感器直接接通了汽车的 CAN 总线,这意味着对于汽车的攻击面从原来的总线攻击和车联网攻击又扩大到了传感器攻击。
而从现在的趋势上来看,机器人的一个重要分支就是带有图像识别和人工智能的“汽车人”,对于能力越来越大的“汽车人”来说,这种攻击所能造成的伤害会越来越大。
【刘健皓和闫琛在 DEF CON 24 演讲台上】
闫琛说:“面对可能性越来越高的攻击,辅助驾驶系统并没有对信号的异常检测机制,这是一个巨大的隐患。例如如果洗头膏检测到信号异常,首要的行动应该是保证汽车安全,而不是什么都不做。”
有一点事实不容置疑,那就是辅助驾驶已经改变了人们的驾驶风格。人们对于机器的依赖只能加深,从不后退。而这种被人类信赖以至于托付生命安全的技术,是难以承受诸多的缺陷的。
当人躺在车里睡大觉的时候,他的特斯拉也同样进入了“梦乡”。
这恐怕是对人类智慧最大的嘲讽。
刘健皓和闫琛对于特斯拉的破解,其实更像一次警示。我们把自己的感官托付给机器的那一瞬间,就要开始奋力阻止《黑客帝国》中所描绘的可怕结局。
两位研究员通过雷锋网特别鸣谢:
1、浙江大学智能系统安全实验室领导人,美女黑客徐文渊教授。她为研究提供了巨大的帮助。
2、是德科技开放实验室,为研究提供了所需设备。
360汽车信息安全实验室(天行者团队),主要研究方向为汽车信息安全。2014年发现Tesla汽车远程控制、无钥匙启动功能漏洞;2015 年发现BYD汽车云服务、遥控驾驶功能漏洞; 2015 年发现辅助驾驶毫米波雷达、超声波雷达传感器漏洞。
本文作者:史中
本文转自雷锋网禁止二次转载,原文链接