设定自动驾驶功能的触控萤幕。(Yuichi Yamazaki/ AFP)
当你开着全自动驾驶汽车行驶在高速公路上,会完全把自己交给驾驶系统吗?如果是,就要小心了。下面这个新闻可能会改变你对自动驾驶系统的安全性的看法。
全自动驾驶系统依靠雷达感测器辨别车辆和物体,以避开障碍物。那么有没有被干扰的因素,从而带来安全问题呢?美国杜克大学开发的一款“疯狂雷达”(MadRadar)系统对自动驾驶系统进行了测试,从而发现了一些汽车系统无法应对的问题。
目前的自动驾驶辅助系统(ADAS)包括盲点侦测(BSD)、自动紧急刹车(AEBS)、变换车道辅助(LCA)和后方交通警报(RTA)系统,而它们都依靠现在的雷达进行感应。这种系统也被运用于飞机、坦克、战机、船舶或无人机等交通工具上,该系统能够帮助交通工具稳定在一定速度、高度,即使在恶劣天气下也适用。
然而,人们仰赖的自动驾驶辅助系统和雷达感应,一旦AI或其它高科技破解或攻击,势必会出现大混乱和灾难,因此了解自动驾驶和雷达的漏洞势在必行。
杜克大学电脑工程副教授米罗斯拉夫·帕伊奇(Miroslav Pajic)领导的一个团队研制的“疯狂雷达”系统,无需事先了解测试车辆的雷达具体设置,便可以在眨眼之间实现干扰,成为对雷达安全最棘手的威胁。该研究成果在1月31日发表至论文预印本的网站arXiv上,并于2月26日至3月1日在加州圣地牙哥举行的网路和分散式系统安全研讨会上展示成果。
过去,科学家只有对自动驾驶车辆中的摄影机和LiDAR(光检测和测距)漏洞进行大量分析和找出解决方案,而对汽车使用的调频连续波(FMCW)雷达系统的漏洞仅限在误报上,并未做更多的研究。
目前汽车常用的雷达是一种调频连续波(FMCW),拥有体积小和成本更低的优点。这种雷达使用的是新一代的毫米波(mmWave)频段,使雷达拥有更高的频率和频宽,让这些感测器的距离分辨率提高了20倍(距离4公分)和速度分辨率提高3倍。
论文还提到,即使车辆是相同的品牌和型号,但使用的雷达参数都存在些微的差异,因为这些雷达会使用略有不同的频率,或以略有不同的时间差进行测量物体,因此过去要欺骗雷达系统,得事先知道汽车雷达的特定参数。
“这种情况就像一个人要阻止某人听广播,那需要阻止他接收广播信号或用自己的广播劫持信号,但还需事先知道对方正在收听哪个电台。”帕吉奇教授对杜克大学新闻室解释说。
杜克大学的“疯狂雷达”系统的即时黑盒,对测试车上的FMCW雷达进行高精度的攻击讯号,以达到干扰车辆的目的,且攻击无需事先了解受害者雷达参数和具体设置。
实验中,科学家演示的“疯狂雷达”攻击都是汽车在真实的道路、速度和雷达系统上完成。他们让“疯狂雷达”进行定点和移动攻击。移动攻击是用移动的汽车搭载黑盒,去攻击另一台正在移动的汽车。
整个攻击过程只需不到四分之一秒(25 MSps)的时间,就能准确检测汽车的雷达参数,并计算出攻击的讯号以欺骗目标的雷达,使目标的汽车感知到一辆并不存在的车子,或改变车辆的车速和路径。
实验人员在这次实验中进行了5,000次独立的模拟实验,并证明被攻击的车辆只要在攻击范围内且无论车速如何,皆会受到黑盒攻击和干扰。
他们在移动式进行三种主要的攻击模式。第一种,先让“疯狂雷达”向目标汽车发送讯号,使目标车辆的雷达感知另一辆实际上不存在的汽车,而这种技术涉及修改或干扰雷达中的时间和速度相关讯号。
第二种,让“疯狂雷达”欺骗目标的雷达,使雷达产生相反的想法,但车子附近其实没有汽车经过,却能感应到有车子。原理是“疯狂雷达”系统在受攻击的汽车周围,巧妙地添加掩蔽讯号,让雷达系统上出现虚假的亮点讯号。
第三种,用“疯狂雷达”使汽车突然改变了路线和速度,这可以导致出现严重的车祸。对此,研究人员建议汽车制造商,尝试让雷达系统的操作参数可以随着时间变化进行随机变化,并为算法添加保护功能,以防止这种类型的攻击奏效,因为这种攻击是最危险的。
帕吉奇教授对杜克大学新闻室表示,“我们发明这些系统并不是为了伤害其他人,只是在展示当前雷达系统存在的问题,以表明我们需要从根本上改变这些雷达的感应设计。”
这次的研究获得美国的海军研究办公室、空军科学研究办公室、国家科学基金会和美国AI研究所的支持,利用下一代无线网路进行边缘运算(Athena)。
