Yulong Cao es estudiante de doctorado en ciencias de la computación e ingeniería en la Universidad de Michigan. Z. Morley Mao es profesor de ingeniería eléctrica y ciencias de la computación en la Universidad de Michigan. Esta historia apareció originalmente en La conversación.
Nada es más importante para un vehículo autónomo que sentir lo que sucede a su alrededor. Al igual que los conductores humanos, los vehículos autónomos necesitan la capacidad de tomar decisiones instantáneas.
Hoy, la mayoría de los vehículos autónomos dependen de múltiples sensores para percibir el mundo. La mayoría de los sistemas usan una combinación de cámaras, sensores de radar y sensores LiDAR (detección de luz y rango). A bordo, las computadoras fusionan estos datos para crear una visión integral de lo que sucede alrededor del automóvil. Sin estos datos, los vehículos autónomos no tendrían ninguna esperanza de navegar de manera segura por el mundo. Los automóviles que usan sistemas de sensores múltiples funcionan mejor y son más seguros (cada sistema puede servir como control de los demás), pero ningún sistema es inmune a los ataques.
Desafortunadamente, estos sistemas no son infalibles. Los sistemas de percepción basados en cámaras pueden ser engañados simplemente por poner calcomanías en las señales de tránsito para cambiar completamente su significado.
Nuestro trabajo, desde Grupo de Investigación RobustNet en la Universidad de Michigan, ha demostrado que el sistema de percepción basado en LiDAR también puede estar comprendido. Al suplantar estratégicamente las señales del sensor LiDAR, el ataque puede engañar al sistema de percepción basado en LiDAR del vehículo para que "vea" un obstáculo inexistente. Si esto sucede, un vehículo podría causar un choque al bloquear el tráfico o frenar abruptamente.
Suplantación de señales LiDAR
Los sistemas de percepción basados en LiDAR tienen dos componentes: el sensor y el modelo de aprendizaje automático que procesa los datos del sensor. Un sensor LiDAR calcula la distancia entre sí mismo y su entorno emitiendo una señal de luz y midiendo cuánto tiempo tarda esa señal en rebotar en un objeto y regresar al sensor. Esta duración de este ida y vuelta también se conoce como el "tiempo de vuelo".
Una unidad LiDAR envía decenas de miles de señales de luz por segundo. Luego, su modelo de aprendizaje automático utiliza los pulsos devueltos para pintar una imagen del mundo alrededor del vehículo. Es similar a cómo un murciélago usa la ecolocación para saber dónde están los obstáculos en la noche.
El problema es que estos pulsos pueden ser falsificados. Para engañar al sensor, un atacante puede hacer brillar su propia señal de luz en el sensor. Eso es todo lo que necesitas para mezclar el sensor.
Sin embargo, es más difícil falsificar el sensor LiDAR para "ver" un "vehículo" que no está allí. Para tener éxito, el atacante necesita cronometrar con precisión las señales disparadas a la víctima LiDAR. Esto tiene que suceder a nivel de nanosegundos, ya que las señales viajan a la velocidad de la luz. Se destacarán pequeñas diferencias cuando el LiDAR esté calculando la distancia utilizando el tiempo de vuelo medido.
Si un atacante engaña con éxito el sensor LiDAR, también debe engañar al modelo de aprendizaje automático. Trabajo realizado en el laboratorio de investigación OpenAI muestra que los modelos de aprendizaje automático son vulnerables a señales o entradas especialmente diseñadas, lo que se conoce como ejemplos adversos. Por ejemplo, las calcomanías especialmente generadas en las señales de tráfico pueden engañar la percepción basada en la cámara.
Descubrimos que un atacante podría usar una técnica similar para crear perturbaciones que funcionen contra LiDAR. No serían una calcomanía visible, sino señales falsas creadas especialmente para engañar al modelo de aprendizaje automático para que piense que hay obstáculos presentes cuando en realidad no los hay. El sensor LiDAR alimentará las señales falsas del pirata informático al modelo de aprendizaje automático, que las reconocerá como un obstáculo.
El ejemplo de confrontación, el objeto falso, podría diseñarse para cumplir con las expectativas del modelo de aprendizaje automático. Por ejemplo, el atacante podría crear la señal de un camión que no se mueve. Luego, para llevar a cabo el ataque, podrían configurarlo en una intersección o colocarlo en un vehículo que se conduce delante de un vehículo autónomo.
Dos posibles ataques
Para demostrar el ataque diseñado, elegimos un sistema de conducción autónomo utilizado por muchos fabricantes de automóviles: Baidu Apollo. Este producto tiene más de 100 socios y ha alcanzado un acuerdo de producción en masa con múltiples fabricantes, incluidos Volvo y Ford.
Al utilizar los datos del sensor del mundo real recopilados por el equipo Baidu Apollo, nosotros demostró dos ataques diferentes. En el primero, un "ataque de freno de emergencia", mostramos cómo un atacante puede detener repentinamente un vehículo en movimiento engañándolo para que piense que un obstáculo apareció en su camino. En el segundo, un "ataque de congelación AV", utilizamos un obstáculo falso para engañar a un vehículo que se había detenido en una luz roja para permanecer detenido después de que la luz se ponga verde.
Al explotar las vulnerabilidades de los sistemas de percepción de conducción autónoma, esperamos activar una alarma para los equipos que crean tecnologías autónomas. La investigación de nuevos tipos de problemas de seguridad en los sistemas de conducción autónoma apenas está comenzando, y esperamos descubrir más posibles problemas antes de que puedan ser explotados en el camino por los malos actores.
