Xe tự hành có thể bị tấn công giả mạo
An toàn thông tin - Ngày đăng : 07:48, 07/07/2020
Đối với việc phát triển xe không người lái thì phần mềm đóng vai trò quan trọng nhất, được ví như não bộ, đảm bảo sự vận hành cho xe. Nếu trước đây, ô tô đặc trưng bởi động cơ, hộp số, bộ dẫn động, vô lăng điều khiển, xăng dầu… thì ngày nay, nó giống như một chiếc máy tính. Phần mềm và điện đã thay thế chức năng của các yếu tố cơ học, con người và nhiên liệu. Một chiếc xe hiện đại được điều khiển bởi 80 tới 100 hệ thống nhúng, 90% sáng tạo của xe hơi hiện nằm ở phần mềm, 100% xe sẽ kết nối với đám mây. Các nghiên cứu về công nghệ trên xe tự hành tập trung vào 2 lĩnh vực chính: phát hiện làn đường và nhận dạng đối tượng.
- Phát hiện làn đường: Vấn đề này đã được nghiên cứu trong nhiều thập kỷ qua. Phần lớn các hệ thống phát hiện làn đường đã được phát triển và ứng dụng trong nhiều loại xe sang.
- Nhận dạng đối tượng: Đây là một thành phần quan trọng của hệ thống xe tự hành. Gần đây, công nghệ này đã có những bước tiến bộ lớn như nhận dạng được đối tượng tĩnh như xe đạp, người đi bộ, ô tô, biển báo giao thông… và đang tiến tới việc nhận dạng đối tượng động như xe/người đang di chuyển trên đường thật…
Nhận dạng đối tượng có ý nghĩa đặc biệt quan trọng khi xe tự lái tham gia giao thông. Những chiếc xe này dễ bị tấn công bằng cách đánh lừa bởi "những chướng ngại vật không hề tồn tại", và có khả năng dẫn đến các vụ tai nạn giao thông nghiêm trọng.
Không có gì quan trọng đối với một chiếc xe tự hành hơn là việc cảm nhận những gì đang xảy ra xung quanh nó. Giống như người lái xe, xe tự lái cần phải đưa ra quyết định tức thời. Ngày nay, hầu hết các phương tiện tự lái đều dựa vào rất nhiều cảm biến để nhận thức thế giới vật lý xung quanh. Hầu hết các hệ thống sử dụng kết hợp máy ảnh, cảm biến radar và cảm biến LiDAR (phát hiện ánh sáng và phạm vi). Trong xe, một máy tính hợp nhất dữ liệu này để tạo ra cái nhìn toàn cảnh về những gì đang xảy ra xung quanh xe. Không có dữ liệu này, các phương tiện tự lái sẽ không có hy vọng chuyển hướng một cách an toàn. Ô tô sử dụng nhiều hệ thống cảm biến sẽ đảm bảo vừa hoạt động tốt hơn và an toàn hơn - mỗi hệ thống có thể đóng vai trò kiểm tra các hệ thống khác.
Vậy Lidar hoạt động như thế nào?
Lidar được sử dụng rất nhiều trong thực tế, một số ứng dụng như: xây dựng bản đồ số trong ngành địa chất, khảo cổ học, hệ thống dẫn đường bằng laser,… Một trong những ứng dụng nổi bật của Lidar là được dùng trong xe không người lái (self driving car) và robot tự hành (autonomous robots).
Các hệ thống nhận thức dựa trên LiDAR có hai thành phần: cảm biến và mô hình học máy để xử lý dữ liệu của cảm biến. Một cảm biến LiDAR tính toán khoảng cách giữa chính nó và môi trường xung quanh bằng cách phát ra tín hiệu ánh sáng laze và đo khoảng thời gian để tín hiệu đó bật ra khỏi một vật thể và trở về cảm biến. Khoảng thời gian qua lại này còn được gọi là "thời gian bay".
Một khối LiDAR gửi ra hàng chục ngàn tín hiệu ánh sáng mỗi giây. Sau đó, mô hình học máy sẽ sử dụng các xung được trả về để vẽ một bức tranh về thế giới xung quanh chiếc xe - tương tự như cách một con dơi sử dụng khả năng định vị bằng tiếng vang để biết chướng ngại vật ở đâu vào ban đêm. Dữ liệu truyềnvề sẽ là các đám mây điểm (point cloud) sau đó sẽ được xây dựng bản đồ số 3D.
Có thể tính khoản cách đến vật thể một cách đơn giản bằng công thức sau:
Khoảng cách đến vật thể = (Tốc độ của ánh sáng x Thời gian đo được)/2
Hiện tại số lượng mẫu có thể đạt được 2,2 triệu mẫu/s, và khoảng cách có thể đo được là hơn 120 m. Trong tương lai số lượng và tốc độ lấy mẫu sẽ tăng lên rất nhiều.
Giả mạo tín hiệu LiDAR
Tuy nhiên thật không may, các hệ thống này không phải là hoàn hảo - không có hệ thống nào có thể tránh khỏi bị tấn công. Các hệ thống nhận thức dựa trên máy ảnh có thể bị lừa chỉ bằng cách dán nhãn lên biển báo giao thông để thay đổi hoàn toàn ý nghĩa của chúng. Nhóm nghiên cứu RobustNet tại Đại học Michigan, đã chỉ ra rằng hệ thống nhận thức dựa trên LiDAR cũng có thể bị tấn công như vậy. Bằng chiến lược giả mạo các tín hiệu cảm biến LiDAR, cuộc tấn công có thể đánh lừa hệ thống nhận thức dựa trên LiDAR của phương tiện để "nhận thấy có một chướng ngại vật" – mặc dù trên thực tế chướng ngại không hề tồn tại. Nếu điều này xảy ra, một chiếc xe có thể gây ra tai nạn bằng cách dừng di chuyển hoặc phanh đột ngột.
Tuy nhiên, việc giả mạo cảm biến LiDAR trở nên khó khăn hơn khi để "nhìn thấy một chiếc xe khác" khi mà không có chiếc xe ở đó. Để thành công, kẻ tấn công cần xác định chính xác thời gian các tín hiệu phản xạ về LiDAR. Điều này phải xảy ra ở cấp độ nano giây, vì các tín hiệu truyền đi ở tốc độ ánh sáng. Sự khác biệt nhỏ sẽ bị phát hiện khi LiDAR tính khoảng cách bằng cách sử dụng thời gian đo được.
Nếu kẻ tấn công đánh lừa thành công cảm biến LiDAR, thì họ cũng phải đánh lừa mô hình học máy. Công việc được thực hiện tại phòng nghiên cứu OpenAI đã cho thấy các mô hình học máy dễ bị tổn thương trước các tín hiệu hoặc đầu vào được chế tạo đặc biệt – được biết đến như là các ví dụ đối nghịch. Ví dụ: nhãn dán được tạo đặc biệt trên biển báo giao thông có thể đánh lừa nhận thức dựa trên máy ảnh.
Các nhà nghiên cứu chỉ ra cách một kẻ tấn công có thể sử dụng một kỹ thuật tương tự để tạo ra các nhiễu loạn hoạt động nhằm chống lại LiDAR. Chúng sẽ không phải là một nhãn dán có thể nhìn thấy, nhưng các tín hiệu giả mạo được tạo ra đặc biệt để đánh lừa mô hình học máy, và để nghĩ rằng có những trở ngại hiện diện khi thực tế không có. Cảm biến LiDAR sẽ cung cấp tín hiệu giả của hacker cho mô hình học máy, và học máy sẽ nhận ra chúng là một chướng ngại vật.
Ví dụ, kẻ tấn công có thể tạo ra tín hiệu của một chiếc xe tải không di chuyển. Sau đó, để tiến hành cuộc tấn công, họ có thể thiết lập nó tại một giao lộ hoặc đặt nó trên một chiếc xe được điều khiển phía trước một chiếc xe tự lái.
Hai phương pháp được sử dụng để đánh lừa AI của chiếc xe tự lái
Hai trường hợp tấn công
Để mô phỏng cuộc tấn công, các nhà nghiên cứu đã chọn một hệ thống lái tự động được sử dụng bởi nhiều nhà sản xuất xe hơi: Baidu Apollo. Sản phẩm này có hơn 100 đối tác và đã đạt được thỏa thuận sản xuất hàng loạt với nhiều nhà sản xuất bao gồm Volvo và Ford.
Bằng cách sử dụng dữ liệu cảm biến trong thế giới thực được thu thập bởi nhóm Baidu Apollo, các nghiên cứu thực nghiệm chỉ ra có 2 dạng tấn công khác nhau. Đầu tiên, tấn công phanh khẩn cấp, một kẻ tấn công có thể đột ngột dừng một phương tiện đang di chuyển bằng cách lừa nó nghĩ rằng một chướng ngại vật xuất hiện trên đường đi. Thứ hai, tấn công "đóng băng AV", kẻ tấn công sẽ sử dụng một chướng ngại vật giả mạo để đánh lừa một chiếc xe đã dừng ở đèn đỏ, khiến chiếc xe dừng lại sau khi đèn chuyển sang màu xanh.
Bằng cách khai thác các lỗ hổng của hệ thống nhận thức lái xe tự lái, các nghiên cứu muốn đưa ra một cảnh báo với các nhà sản xuất sử dụng công nghệ không người lái. Nghiên cứu về các loại vấn đề an ninh mới trong các hệ thống lái xe tự lái chỉ mới bắt đầu và hy vọng sẽ phát hiện ra nhiều vấn đề có thể xảy ra trước khi chúng có thể bị các tác nhân xấu khai thác trên thực tế.
(Bài đăng trên ấn phẩm in Tạp chí TT&TT Số 3+4 tháng 5/2020)