Придуман способ взламывать автопилот Tesla, не вторгаясь в ее ИТ-систему
Эксперты Университета Бен-Гуриона в Израиле установили, что автопилот Tesla Model X достаточно легко обмануть с помощью изображения дорожных знаков на цифровых билбордах. В Tesla ответили, что их автопилот не предполагает отсутствия внимания со стороны водителя.
Фантомы разбушевались
Автопилоту смарт-автомобилей Tesla достаточно на долю секунды показать фальшивое изображение дорожного знака, чтобы машина восприняла его как реальный, выяснили исследователи из Университета Бен-Гуриона в Негеве, Израиль. Фантомное изображение можно высветить на любом дорожном билборде, подключенном к Сети. Демонстрация продолжительностью 0,42 секунды гарантированно сбивает автопилот с толку.
В последних экспериментах исследователей использовался автомобиль TeslaModelXс новейшим автопилотом HW3, а также устройство Mobileeye 630, предназначенное для профилактики столкновений.
Как оказалось, достаточно было высветить поддельный знак ограничения скорости на одну восьмую секунды, чтобы Mobileeye воспринял его как реальный и дал водителю ложную информацию. Эксперименты проводились на малозагруженной дороге с использованием цифрового билборда с экраном размером с телевизионный.
Исследователи также пытались найти способ максимально эффективно замаскировать высвечиваемый дорожный знак в видеоролике так, чтобы человеческий глаз его проигнорировал. Дошло даже до разработки алгоритма, который автоматически определяет область видеоизображения, где появление знака человеческое сознание с наибольшей вероятностью проигнорирует (а машина, понятное дело, нет).
Изображение знака встроили в рекламу McDonald's и успешно заставили автопилот Tesla остановить автомобиль. В другом случае Mobileeye 630 сигнализировал о скоростном лимите 90 миль в час когда машина находилась в подземном паркинге.
Никаких следов
Это уже далеко не первый подобный эксперимент со стороны исследователей из университета Бен-Гуриона. Ранее они успешно продемонстрировали, что автопилот Tesla (правда, более ранней версии) можно обмануть, если ночью спроецировать на дорогу специально подготовленное изображение пешехода, и что проекции дорожных знаков на деревья или столбы достаточно, чтобы сбить с толку тот же Mobileeye 360.
В данном случае, однако, речь идет об атаках, которые не оставляют сколько-нибудь значительных следов и не требуют никаких физических приспособлений: цифровые билборды зачастую легко уязвимы перед кибератаками, так что потенциальные злоумышленники могут просто вывести на нужный экран вдоль загруженного шоссе такую фальшивую рекламу и вызвать аварии и пробки. «Фантомные атаки можно производить удаленно, и никаких специальных знаний для них не требуется», — отметил Бен Насси (Ben Nassi), один из участников исследования.
Как в интервью Wired отметил знаменитый «автохакер» Чарли Миллер (Charlie Miller), один из ведущих экспертов по цифровой безопасности бортовых систем smart-автомобилей, проблема с автопилотом Tesla заключается в том, что он полагается преимущественно на видеокамеры и в меньшей степени на радар. Беспилотные автомобили некоторых конкурентов Tesla — Waymo, Uber и Cruise (дочернее предприятие GeneralMotors) — также используют лидары (лазерные дальномеры), которые позволяют отличить физические препятствия и дорожные знаки от проецируемых фальшивок. «Лидар не поддастся на такой тип атаки, — заметил Миллер. — Можно как угодно менять изображение на билборде, для лидара это не имеет никакого значения. Он измеряет расстояние и скорость. Так что большая часть действительно автономных машин на эти атаки не среагируют».
Со своей стороны, в Tesla отметили, что их автопилот не является полноценной заменой водителю, это лишь вспомогательная система, не предполагающая, что водитель не участвует в управлении автомобилем.
«Вероятность описанных фантомных атак не стоит ни переоценивать, ни недооценивать, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — В то время как в теории их довольно легко осуществить, практическая реализация не обязательно будет простой. С другой стороны, конечно, автопилот, полагающийся в первую очередь на визуальные маркеры и слабо отличающий физические объекты от проекций, буквально напрашивается на попытки его атаковать с помощью фантомов. Даже если это только вспомогательная система, предполагающая, что водитель следит за дорогой сам и готов перехватить управление в любой момент. А молниеносная реакция в случае даже “символического” использования автопилота не гарантирована: человек очень быстро впадает в психологическую зависимость от вспомогательных средств и быстрая мобилизация может становиться проблемой».
Исследователи из университета Бен-Гуриона, между тем, предложили систему, которая позволит даже автопилотам на базе видеокамер определять поддельные знаки и препятствия. Система получила уместное название Ghostbusters («Охотники за привидениями»). Принцип ее действия основан на распознавании «контекста пространства» и освещенности вокруг дорожного знака для определения, является ли знак подлинным или фальшивым. Однако авторы методики признают, что и она достаточно ограниченна в своих возможностях. Особенно в сравнении с платформами, использующими лидары и другие сенсоры.