Команда сингапурских учёных разработала атаку, которая способна заставить автопилот автомобиля игнорировать дорожные знаки. Атака GhostStripe незаметна для человеческого глаза и нацелена на CMOS-сенсоры камер, которые используются, например, в Tesla и Baidu Apollo.
Атака заключается в «расцвечивании» дорожных знаков разными цветами при помощи светодиодов так, чтобы помешать ПО автомобиля распознать их. Объектом атаки становится скользящий электронный затвор CMOS-сенсоров камер. Светодиоды мигают разными цветами, когда камера сканирует знак, из-за чего, например, оттенок красного на знаке «Стоп» будет разного цвета на каждой линии сканирования. Камера захватывает это полосатое изображение и отправляет на интерпретацию классификатору в ПО автомобиля, работа которого обычно основана на нейросетях. Так как на изображении будет множество цветных полос, классификатор не сможет его распознать как дорожный знак, и автомобиль не среагирует.
Атака, получившая говорящее название GhostStripe, работает на различных типах дорожных знаков. Исследователи представили два типа атаки. Первый тип, GhostStripe1, не требует доступа к целевому автомобилю и работает через систему мониторинга. Злоумышленник отслеживает местонахождение автомобиля и регулирует мерцание светодиодов, чтобы ПО не могло считать дорожный знак.
Второй тип, GhostStripe2, требует доступа к целевому автомобилю. Эта атака предполагает установку датчика на провод питания камеры. Датчик определяет момент кадрирования, что позволяет точнее управлять временем для проведения идеальной атаки.
Команда протестировала свою атаку в реальных дорожных условиях, в автомобиле с камерой Leopard Imaging AR023ZWDR, которая используется в Baidu Apollo. Исследователи проверили GhostStripe на знаках «Стоп», «Уступи дорогу» и «Ограничение скорости». Атака GhostStripe1 сработала в 94% случаев, а GhostStripe2 — в 97%, хотя яркий свет снижает её эффективность.
«Это ухудшение происходит из-за того, что атакующий свет [светодиодов] подавляется окружающим освещением», — поясняют исследователи.
По словам учёных, для защиты от такого рода атак проще всего заменить CMOS-камеру со скользящим затвором на камеру с кадровым затвором, которая делает весь снимок сразу. Процент успеха атаки также можно снизить за счёт увеличения количества камер. Наконец, GhostStripe можно включить в процесс обучения ИИ автомобиля, чтобы система могла распознавать такие атаки.
Команда представит GhostStripe на Международной конференции Ассоциации вычислительной техники по мобильным системам (ACM International Conference on Mobile Systems) в следующем месяце.
Ранее энтузиаст из США обнаружил, что футболка с изображением знака Stop («Стоп») в большинстве попыток (судя по видео, в трёх из четырёх раз) может приостанавливать на дороге беспилотные такси. Роботизированная система автомобилей Waymo воспринимает стоящего на обочине человека с большим знаком на Stop на груди в качестве дорожного знака.
Источник: habr.com