ADAS 汽車常見(jiàn)的網(wǎng)絡(luò)攻擊方式有硬件攻擊��、軟件攻擊����、傳感器攻擊、多傳感器融合攻擊��、無(wú)線通信攻擊�����、V2X攻擊和算法攻擊�,如圖1所示。
圖 1 ADAS 常見(jiàn)網(wǎng)絡(luò)攻擊方式
01 硬件攻擊
汽車網(wǎng)絡(luò)安全的核心目標(biāo)是保障真實(shí)物理世界中車輛的安全���。最直接的攻擊往往是針對(duì)車輛硬件的攻擊����,這種攻擊方式被稱為硬件攻擊或物理攻擊�。硬件攻擊可以直接針對(duì)設(shè)備本身和運(yùn)行過(guò)程中的物理設(shè)備進(jìn)行。根據(jù)攻擊手段和過(guò)程�,硬件攻擊可以分為非侵入攻擊�����、半侵入式攻擊和侵入式攻擊�����。非侵入攻擊指的是攻擊者不需要物理接觸被攻擊對(duì)象即可進(jìn)行攻擊�����,比如硬件改造�����、節(jié)點(diǎn)復(fù)制����;半侵入式攻擊需要攻擊者物理接觸被攻擊對(duì)象�����,但不會(huì)造成永久性的物理?yè)p壞���,比如側(cè)信道���、故障注入;而侵入式攻擊則需要攻擊者完全破壞被攻擊對(duì)象的外殼或者植入硬件進(jìn)行攻擊�,比如物理傷害,這種攻擊方式最為危險(xiǎn)��,因?yàn)楣粽呖梢酝耆刂票还魧?duì)象���。硬件攻擊可以總結(jié)為硬件改造���、節(jié)點(diǎn)復(fù)制、物理傷害���、側(cè)信道和故障注入�����。
1�����、硬件改造
當(dāng)計(jì)算機(jī)的物理基礎(chǔ)設(shè)施受到攻擊時(shí)�,黑客可能會(huì)實(shí)施各種攻擊手段���,包括攻擊硬件�、修改硬件或者復(fù)制汽車內(nèi)硬件系統(tǒng)的組件。這些攻擊可能導(dǎo)致組件被替換�����、移除或復(fù)制���,而黑客改造這些組件后��,可能會(huì)在其中留下后門或其他惡意程序�,從而對(duì)汽車系統(tǒng)造成威脅和危險(xiǎn)�����。
2�����、節(jié)點(diǎn)復(fù)制
節(jié)點(diǎn)復(fù)制是指復(fù)制物理硬件的實(shí)體�����,當(dāng)攻擊者通過(guò)復(fù)制節(jié)點(diǎn)來(lái)攻擊網(wǎng)絡(luò)或通信設(shè)備時(shí),就會(huì)出現(xiàn)這種情況�����。例如����,黑客可以復(fù)制充電樁的硬件通信模塊�,經(jīng)過(guò)改造后再將其重新接入充電網(wǎng)絡(luò),從而進(jìn)行下一步攻擊�����。
3��、物理傷害
物理傷害指對(duì)車輛本身或其部件的破壞��,這種潛在攻擊可能會(huì)導(dǎo)致車輛遭受物理?yè)p壞�,例如破壞前照燈、鎖以及可能控制車輛電動(dòng)窗戶的相關(guān)組件�。物理?yè)p壞可能會(huì)危及人身安全。
4����、側(cè)信道攻擊
1998 年,Kelsey 等學(xué)者提出了側(cè)信道攻擊(Side-Channel Attack ,SCA)理論���。與傳統(tǒng)密碼分析不同�����,側(cè)信道攻擊是一種密碼分析攻擊���,攻擊者不直接破解加密算法本身,而是利用加密設(shè)備在運(yùn)行過(guò)程中產(chǎn)生的一些側(cè)信道信息����,如功耗、電磁輻射�����、計(jì)算時(shí)間����、熱量等,推斷出密鑰或加密數(shù)據(jù)的信息����。這種攻擊方式不需要攻擊者獲得設(shè)備內(nèi)部信息���,只需要通過(guò)設(shè)備外部泄露的信息來(lái)進(jìn)行攻擊,因此采用傳統(tǒng)的安全措施難以防范���。常見(jiàn)的側(cè)信道攻擊有功耗分析攻擊���、電磁輻射攻擊、時(shí)間分析攻擊等�。側(cè)信道攻擊是一種非常有效的密碼攻擊方式�, 對(duì)現(xiàn)代密碼算法的安全性產(chǎn)生了巨大威脅。
5�、故障注入
故障注入(Fault Injection)是一種針對(duì)硬件或軟件系統(tǒng)的攻擊方式,通過(guò)有意地向系統(tǒng)中注入故障���,使系統(tǒng)在執(zhí)行過(guò)程中出現(xiàn)意外行為或錯(cuò)誤結(jié)果����,以獲得攻擊者想要的信息或控制權(quán)�����。故障注入可以通過(guò)多種方式實(shí)現(xiàn)����,例如改變電壓或電流���,加熱或冷卻,重復(fù)或延遲執(zhí)行指令等�,以產(chǎn)生故障或干擾系統(tǒng)的正常執(zhí)行過(guò)程。通過(guò)分析這些故障或錯(cuò)誤結(jié)果���,攻擊者可以獲取系統(tǒng)中的機(jī)密信息或控制系統(tǒng)的行為�。故障注入可以針對(duì)硬件系統(tǒng)���,如芯片��、智能卡 等����,也可以針對(duì)軟件系統(tǒng)�����,如操作系統(tǒng)�����、應(yīng)用程序等。故障注入是一種比較難以檢測(cè)和防范的攻擊方式�����,因此在安全設(shè)計(jì)和實(shí)現(xiàn)中需要采取相應(yīng)的防護(hù)措施��。
常見(jiàn)的故障注入方式有激光故障注入��、電磁故障注入��、電壓毛刺故障注入和時(shí)鐘毛刺故障注入等�。 一般故障注入用來(lái)繞過(guò)一些安全機(jī)制(例如口令檢測(cè)、安全啟動(dòng)�、簽名等)�����。
02 軟件攻擊
隨著軟件定義汽車時(shí)代的到來(lái)����,汽車的軟件變得越來(lái)越復(fù)雜,代碼數(shù)量越來(lái)越龐大���,其 中不可避免地會(huì)存在一些漏洞�。因此,汽車網(wǎng)絡(luò)安全攻擊已經(jīng)成為一個(gè)嚴(yán)峻的挑戰(zhàn)�。針對(duì)軟件定義汽車的攻擊重點(diǎn)有信息娛樂(lè)系統(tǒng)、固件��、車載接口����、第三方應(yīng)用程序和 OTA 惡意更新等。攻擊者可以利用它們的漏洞來(lái)獲取機(jī)密信息��,遠(yuǎn)程控制車輛��,篡改車輛數(shù)據(jù)�,等等。為了確保軟件定義汽車的安全性�,需要采取一系列安全措施,包括完善的軟件設(shè)計(jì)和開(kāi)發(fā)流程�����、 加密和認(rèn)證機(jī)制����、訪問(wèn)控制和安全審計(jì)等。
1�����、信息娛樂(lè)系統(tǒng)
信息娛樂(lè)系統(tǒng)通常運(yùn)行的是操作系統(tǒng),如Android ��、RTOS ����、Linux 、QNX和Windows Embedded Automotive等�。然而,這些操作系統(tǒng)本身存在安全問(wèn)題����,包括內(nèi)核攻擊、提權(quán)攻擊�����、網(wǎng)絡(luò)嗅探等����。這些攻擊方法都可以導(dǎo)致信息娛樂(lè)系統(tǒng)面臨潛在的威脅和安全風(fēng)險(xiǎn)�。因此,在設(shè)計(jì)和部署信息娛樂(lè)系統(tǒng)時(shí)���,必須考慮并采取適當(dāng)?shù)陌踩胧?��,以最大限度減少這些風(fēng)險(xiǎn)的影響��。
2�����、固件
固件是一種為特定硬件設(shè)備提供低級(jí)控制的軟件���。然而,這種軟件本身存在安全漏洞��, 可能會(huì)受到惡意攻擊����。此外,攻擊者還可以通過(guò)無(wú)線方式重新刷寫(xiě)固件����,而重新刷寫(xiě)的固件可能包含惡意軟件。這些攻擊方法可能導(dǎo)致設(shè)備完全失效��,或者讓攻擊者竊取敏感信息�����。因此,為了保護(hù)設(shè)備的安全和隱私��,必須采取適當(dāng)?shù)拇胧﹣?lái)保護(hù)固件免受攻擊����,例如定期更新固件并加強(qiáng)固件驗(yàn)證機(jī)制等。
3�����、車載接口
車輛中普遍存在 OBD 接口�����,該接口通過(guò) CAN 總線與 ECU 進(jìn)行通信��,以收集和傳輸車輛診斷信息�。然而,OBD 也是汽車網(wǎng)絡(luò)安全最脆弱的部分之一�。攻擊者可以通過(guò)植入惡意軟件代碼來(lái)篡改或重新刷寫(xiě) ECU���,導(dǎo)致 ECU 無(wú)法與其他車載單元組件����,如激光雷達(dá)、攝像頭等進(jìn)行通信���,進(jìn)而威脅汽車的安全性��。這些攻擊方式可能導(dǎo)致汽車失控��、發(fā)生事故����,甚至遠(yuǎn)程控制汽車��。因此�,為了保護(hù)車輛的安全和隱私,必須采取適當(dāng)?shù)拇胧﹣?lái)保護(hù) OBD 接口免受攻擊���,如限制對(duì) OBD 接口的訪問(wèn)�,加強(qiáng) OBD 認(rèn)證和加密�,等等。
4�����、第三方應(yīng)用程序
大型軟件通常會(huì)集成第三方應(yīng)用程序,這也被稱為軟件供應(yīng)鏈����。然而,這些第三方應(yīng)用程序可能會(huì)被惡意攻擊者植入流氓軟件�����、后門軟件����、代碼投毒等惡意軟件,從而危及整個(gè)軟件的安全性和可靠性���。這種類型的攻擊可能導(dǎo)致數(shù)據(jù)泄露����、系統(tǒng)崩潰�����、功能失效等問(wèn)題����,對(duì)用戶和組織都會(huì)帶來(lái)不可逆的損失。因此���,在開(kāi)發(fā)和部署軟件時(shí)�����,必須采取適當(dāng)?shù)拇胧﹣?lái)確保第三方應(yīng)用程序的安全性和可靠性��,如定期檢查第三方應(yīng)用程序的代碼����,加強(qiáng)供應(yīng)鏈管理�����, 等等���。
5���、OTA惡意更新
如果汽車制造商缺乏必要的安全更新保護(hù)措施,那么車輛中的固件可能會(huì)被 OTA 惡意更新����。這種惡意更新可能通過(guò)物理訪問(wèn)或遠(yuǎn)程訪問(wèn)兩種方式進(jìn)行���。在物理訪問(wèn)的情況下,攻擊者可以直接利用傳感器數(shù)據(jù)����、控制和通信模塊等組件來(lái)植入惡意固件;而在遠(yuǎn)程訪問(wèn)的情況下�����,攻擊者可以通過(guò)不同的連接方式���,如 Wi-Fi����、藍(lán)牙���、4G 等來(lái)植入惡意固件��,這種方式更加隱蔽和危險(xiǎn)���。
一旦固件被 OTA 惡意更新��,攻擊者可以篡改車輛的控制系統(tǒng)����,從而遠(yuǎn)程控制汽車���。例如,更改車輛的速度和方向等參數(shù)����,甚至可能導(dǎo)致汽車失控和發(fā)生事故。為了確保車輛安全和隱私��,必須采取適當(dāng)?shù)拇胧﹣?lái)保護(hù)固件免受攻擊�����,如加強(qiáng)固件認(rèn)證���、加密和簽名等���。此外,制造商還應(yīng)及時(shí)提供安全更新和補(bǔ)丁程序�,以便用戶及時(shí)更新和修復(fù)車輛中的漏洞和安全問(wèn)題����。
03 傳感器攻擊
前文詳細(xì)介紹了傳感器的原理�,本書(shū)研究的傳感器主要分為環(huán)境傳感器和動(dòng)力傳感器。
1���、動(dòng)力傳感器攻擊
車輛動(dòng)力傳感器可測(cè)量繞垂直軸的車輛的轉(zhuǎn)速和橫向加速度��,對(duì)于確定車輛的動(dòng)態(tài)狀況有重要作用���。其中,磁性編碼器���、慣性傳感器和 TPMS 提供對(duì)車輛狀態(tài)的測(cè)量����。
(1)磁性編碼器
有一類磁性編碼器是輪速傳感器���,它可能面臨以下兩類攻擊����。
破壞性攻擊:攻擊者可以在車輪之間放置一個(gè)電磁制動(dòng)的速度傳感器����,從而破壞 ABS 調(diào)節(jié)環(huán)的磁場(chǎng)���。這種攻擊方式稱為磁性干擾攻擊。通過(guò)放置一個(gè)外部磁性源��,攻擊者可以干擾傳感器的正常運(yùn)行�����,從而破壞車輛的穩(wěn)定性和控制性能�。為了防止這種攻擊���, 車輛制造商通常采用物理隔離措施或加密協(xié)議來(lái)保護(hù)傳感器的數(shù)據(jù)安全���。
欺騙攻擊:攻擊者可以通過(guò)未經(jīng)授權(quán)的方式修改輪速數(shù)據(jù),從而欺騙輪速傳感器�����。這 可以通過(guò)多種方式實(shí)現(xiàn)��,例如在傳感器輸入電纜中插入電阻器或通過(guò)黑客攻擊入侵車輛的 ECU 來(lái)修改傳感器讀數(shù)��。這種攻擊可能會(huì)導(dǎo)致車輛的安全性受到威脅,因?yàn)?ABS 可能會(huì)誤判車輛的實(shí)際速度和加速度�����,從而影響車輛的制動(dòng)和操控��。
這些攻擊可能會(huì)對(duì)車輛的 ABS 造成嚴(yán)重影響�,導(dǎo)致車輛在制動(dòng)或緊急制動(dòng)時(shí)無(wú)法準(zhǔn)確響應(yīng)。為了減少這些安全風(fēng)險(xiǎn)����,汽車制造商通常采用多個(gè)傳感器來(lái)獲取輪速數(shù)據(jù),并使用復(fù)雜的算法來(lái)檢測(cè)和校正任何異常值或數(shù)據(jù)不一致性�。此外,現(xiàn)代汽車還采用加密技術(shù)和其他安全措施�����,以防止攻擊者未經(jīng)授權(quán)地訪問(wèn)和修改車輛 ECU�����。
(2)慣性傳感器
慣性傳感器是用于檢測(cè)和測(cè)量車輛加速度����、傾斜�����、沖擊�、振動(dòng)���、旋轉(zhuǎn)和多自由度運(yùn)動(dòng)的傳感器�。慣性傳感器通常包括加速度計(jì)(或加速度傳感計(jì))和角速度傳感器(陀螺儀)��,以及它們的單軸��、雙軸或三軸組合 IMU�。慣性傳感器存在以下安全風(fēng)險(xiǎn)����。
側(cè)擺攻擊:通過(guò)策略性地增加和減少注入波形的幅度來(lái)操縱車輛航向值的攻擊方式。 在攻擊期間�,攻擊者交替注入兩個(gè)不同頻率的波形,導(dǎo)致波形相位踱步���,車輛的航向值不斷增加�,進(jìn)而影響汽車的正常行駛��。
聲學(xué)攻擊:攻擊者可以使用聲學(xué)攻擊來(lái)影響汽車的正常行駛。這種攻擊針對(duì)微機(jī)電系統(tǒng)陀螺儀和加速度計(jì)的負(fù)載諧振頻率����。攻擊者制造彈簧質(zhì)量結(jié)構(gòu)的工具,可以偽造頻率與負(fù)載諧振頻率相同的聲波����,從而影響汽車的運(yùn)動(dòng)狀態(tài)。
(3)TPMS
當(dāng)前使用的 TPMS 包含 4 個(gè)壓力傳感器��,每個(gè)輪胎配備一個(gè) TPMS ECU 和一個(gè)接收器單元�����,其中接收器單元在某些情況下可能與 ECU 集成以便收集數(shù)據(jù)��。這些數(shù)據(jù)包含傳感器 ID�����、 胎壓和溫度測(cè)量�����,并會(huì)丟棄傳感器 ID 與車輛輪胎不對(duì)應(yīng)的信息。然而�,這種系統(tǒng)存在以下安全風(fēng)險(xiǎn)。
逆向攻擊:在逆向工程中攻擊����,攻擊者可以對(duì)車輛系統(tǒng)進(jìn)行解構(gòu),提取固件��,并對(duì)其進(jìn)行逆向分析以發(fā)現(xiàn)其中的漏洞����,例如重放攻擊和中繼攻擊。這些漏洞可能會(huì)被攻擊者利用��,例如欺騙車輛 ECU 接受偽造的消息或指令���,導(dǎo)致車輛出現(xiàn)異常行為�,如啟動(dòng)引擎或停止制動(dòng)系統(tǒng)等�。因此���,逆向攻擊對(duì)車輛的安全性構(gòu)成了潛在的威脅��。為了減輕這些安全風(fēng)險(xiǎn)�,汽車制造商采取了多種措施,例如使用硬件保護(hù)模塊來(lái)加密固件����, 限制對(duì)固件的訪問(wèn),以及使用數(shù)字簽名驗(yàn)證固件的完整性和身份認(rèn)證����。
欺騙攻擊:欺騙攻擊指攻擊者未經(jīng)授權(quán)進(jìn)入 TPMS,并偽造胎壓傳感器的測(cè)量數(shù)據(jù)��, 以欺騙車輛系統(tǒng)并導(dǎo)致 TPMS 警告燈發(fā)出錯(cuò)誤的信號(hào)���。這種攻擊可能導(dǎo)致用戶誤認(rèn)為輪胎的壓力正常��,從而影響車輛的行駛安全以及駕駛員的人身安全�����。
竊聽(tīng)攻擊:由于每個(gè)胎壓傳感器的傳感器 ID 在一段時(shí)間內(nèi)保持不變�����,而 TPMS 的 ECU 通常未進(jìn)行安全驗(yàn)證以確保信息來(lái)自合法的節(jié)點(diǎn)�����,攻擊者可以監(jiān)控傳感器數(shù)據(jù)的讀數(shù)和傳輸�����。研究表明�,攻擊者可以利用竊聽(tīng)工具,在 40 m 范圍內(nèi)竊取過(guò)去經(jīng)過(guò)的車輛的 TPMS 信息�。
2、環(huán)境傳感器攻擊
環(huán)境傳感器可提供與車輛周圍環(huán)境相關(guān)的測(cè)量數(shù)據(jù)��,包括激光雷達(dá)�、超聲波、攝像頭和 雷達(dá)傳感器等���。
(1)激光雷達(dá)
激光雷達(dá)系統(tǒng)利用激光掃描技術(shù)生成周圍環(huán)境的三維映射�。目前����,掃描激光雷達(dá)是主要采用的激光雷達(dá)類型,但未來(lái)固態(tài)激光雷達(dá)將主導(dǎo)市場(chǎng)����。掃描激光雷達(dá)通過(guò)發(fā)射激光來(lái)掃描 車輛周圍的地圖����,同時(shí)旋轉(zhuǎn)���。當(dāng)這些脈沖與周圍物體相遇時(shí),它們會(huì)被反射回激光雷達(dá)����,這 些反射脈沖稱為“回波”。接著����,激光雷達(dá)傳感器可以根據(jù)光速和脈沖發(fā)送與回波接收之間的 時(shí)間差,計(jì)算出與障礙物的距離���,并最終生成一個(gè)附近場(chǎng)景的三維視圖��。自適應(yīng)巡航控制和 防撞系統(tǒng)都依賴此功能����。然而���,激光雷達(dá)系統(tǒng)通常會(huì)面臨以下攻擊:
重放攻擊:攻擊者可以利用激光雷達(dá)發(fā)送的信號(hào)進(jìn)行重放攻擊����。具體來(lái)說(shuō),攻擊者可以接收并記錄激光雷達(dá)的信號(hào)�,然后將其重新發(fā)送給激光雷達(dá)。由于激光雷達(dá)無(wú)法區(qū)分信號(hào)的真實(shí)來(lái)源����,因此它會(huì)將這些信號(hào)解釋為來(lái)自現(xiàn)實(shí)世界中的物體。這樣一來(lái)����, 攻擊者就可以通過(guò)制造虛假信號(hào)來(lái)欺騙激光雷達(dá),從而導(dǎo)致其生成錯(cuò)誤的映射結(jié)果����, 進(jìn)而對(duì)自動(dòng)駕駛系統(tǒng)產(chǎn)生極大的安全威脅。
欺騙攻擊:欺騙攻擊會(huì)讓激光雷達(dá)檢測(cè)到本不存在的物體��,進(jìn)而導(dǎo)致自動(dòng)駕駛系統(tǒng)做出錯(cuò)誤的判斷��。攻擊者可以通過(guò)發(fā)送虛假信號(hào)欺騙激光雷達(dá)�����,使其誤認(rèn)為某些物體存 在���,或者讓它過(guò)度計(jì)算到某些障礙物的距離��,從而導(dǎo)致自動(dòng)駕駛系統(tǒng)做出不正確的決策���。這種攻擊會(huì)直接影響到自動(dòng)駕駛汽車的安全性,因此必須采取相應(yīng)的措施來(lái)防范����。
中繼攻擊:激光雷達(dá)中繼攻擊(Laser Relay Attack)是指攻擊者通過(guò)在目標(biāo)車輛周圍設(shè)置中繼器,在車輛與真正激光雷達(dá)之間建立虛假通信鏈路�����,從而欺騙車輛的激光雷達(dá)��, 使其產(chǎn)生錯(cuò)誤的感知結(jié)果��,進(jìn)而影響自動(dòng)駕駛系統(tǒng)的正常運(yùn)行��。具體來(lái)說(shuō)�����,攻擊者可以利用中繼器獲取目標(biāo)車輛發(fā)送的激光雷達(dá)信號(hào)���,然后將這些信號(hào)轉(zhuǎn)發(fā)給真正的激光雷達(dá)�,同時(shí)將其修改后再傳回給目標(biāo)車輛,從而誤導(dǎo)車輛的自動(dòng)駕駛系統(tǒng)����。這種攻擊方式可以對(duì)自動(dòng)駕駛車輛的安全性造成極大的威脅。
中繼攻擊可以使用以下兩種工具來(lái)完成:一種是價(jià)格低廉的光電探測(cè)器�����,可以產(chǎn)生與激光雷達(dá)發(fā)送的脈沖強(qiáng)度完全一致的輸出電壓���;另一種是模擬激光雷達(dá)的收發(fā)器���,其成本僅為 43.25 美元。攻擊者利用這些工具來(lái)產(chǎn)生虛假的回波信號(hào)�,從而欺騙激光雷達(dá)。例如����,攻擊者可以在真實(shí)物體位置之外制造虛假的回波信號(hào),以使激光雷達(dá)誤認(rèn)為某些物體存在��,或者將真實(shí)物體的位置偏移�����,從而干擾自動(dòng)駕駛汽車的 ADAS。
致盲攻擊:致盲攻擊是一種通過(guò)注入強(qiáng)光干擾激光雷達(dá)系統(tǒng)而導(dǎo)致其失效的攻擊方式���。 攻擊者可以利用波長(zhǎng)與激光雷達(dá)相同的光源��,向其發(fā)射強(qiáng)光信號(hào),從而使得激光雷達(dá)系統(tǒng)受到干擾�,無(wú)法正常工作。攻擊者所使用的光源可以是可見(jiàn)光或紅外線光����,具體取決于攻擊目標(biāo)的激光雷達(dá)系統(tǒng)的工作原理。在激光雷達(dá)系統(tǒng)中����,激光發(fā)射器通常會(huì)發(fā)射紅外線光脈沖,但是激光雷達(dá)接收器所使用的光傳感器不一定只能接收紅外線光信號(hào)�����,也可能能夠接收其他波長(zhǎng)的光信號(hào)����。因此,攻擊者可以利用波長(zhǎng)與激光雷達(dá)接收器相同的光源來(lái)實(shí)施致盲攻擊,使激光雷達(dá)系統(tǒng)無(wú)法正常工作�。
干擾攻擊:攻擊者可以發(fā)出與激光雷達(dá)相同的頻帶,從而干擾激光雷達(dá)正常工作����。可以使用 Raspberry Pi����、操作系統(tǒng)和一個(gè)低功率激光器來(lái)制作一個(gè)低成本的干擾激光雷達(dá)傳感器工具。
DoS 攻擊:攻擊者可以進(jìn)行 DoS 攻擊���,通過(guò)對(duì)激光雷達(dá)的服務(wù)進(jìn)行 DoS 攻擊����,造成激光雷達(dá)服務(wù)不可用��,致使正常功能無(wú)法進(jìn)行使用�����。
故障注入攻擊(Autonomous Vehicle Fault Injector����,AVFI):AVFI 可以通過(guò) 4 種方式注入故障,即數(shù)據(jù)故障、硬件故障�、時(shí)序故障和機(jī)器學(xué)習(xí)錯(cuò)誤。數(shù)據(jù)故障通過(guò)操縱傳感 器(例如攝像頭���、激光雷達(dá)和 GNSS 等)來(lái)注入錯(cuò)誤的測(cè)量數(shù)據(jù)���。硬件故障通過(guò)改變環(huán)境參數(shù)(如重離子輻射、電磁干擾和電源干擾)來(lái)干擾硬件�����,或通過(guò)改變集成電路芯片管腳輸入來(lái)注入故障��。時(shí)序故障會(huì)導(dǎo)致通信網(wǎng)絡(luò)中的流量延遲��,從而導(dǎo)致數(shù)據(jù)丟失或無(wú)序�。機(jī)器學(xué)習(xí)錯(cuò)誤則是由于錯(cuò)誤的模型在訓(xùn)練期間或運(yùn)行時(shí)導(dǎo)致的預(yù)測(cè)錯(cuò)誤����。AVFI 通過(guò)在參數(shù)中添加噪聲來(lái)影響機(jī)器學(xué)習(xí)模型的權(quán)重,從而注入機(jī)器學(xué)習(xí)錯(cuò)誤����。
(2)超聲波
超聲波傳感器可以檢測(cè)附近的障礙物并計(jì)算它們與車輛之間的距離。傳感器發(fā)出超聲波信號(hào)來(lái)探測(cè)周圍的物體,當(dāng)信號(hào)到達(dá)障礙物時(shí)會(huì)反射回傳感器�����,通過(guò)測(cè)量信號(hào)的發(fā)送和接收時(shí)間以及反射信號(hào)的特征來(lái)計(jì)算障礙物到車輛的距離��。超聲波傳感器通常用于協(xié)助駕駛員執(zhí)行低速�����、需要耗時(shí)的任務(wù)(如停車)�����,以提高駕駛的安全性和效率���。
盲點(diǎn)攻擊:車輛的超聲波傳感器無(wú)法檢測(cè)到盲區(qū)中的物體�,攻擊者可以通過(guò)放置障礙物來(lái)使車輛倒車時(shí)撞上它們����。這種攻擊利用了超聲波傳感器檢測(cè)盲區(qū)時(shí)的局限性。
干擾攻擊:攻擊者可以向某個(gè)方向連續(xù)發(fā)送超聲波脈沖�,干擾傳感器的正常工作。這種攻擊會(huì)導(dǎo)致傳感器無(wú)法準(zhǔn)確測(cè)量車輛與附近物體的距離��。
偽裝攻擊:攻擊者通過(guò)在周圍放置具有吸音特性的材料等方式來(lái)隱藏附近物體,從而進(jìn)行偽裝攻擊���。這種攻擊使得傳感器無(wú)法檢測(cè)到實(shí)際存在的物體�。
物理攻擊:攻擊者可以對(duì)超聲波傳感器的接收器和發(fā)射器進(jìn)行篡改或者禁用它們的功能��。這種攻擊通過(guò)物理手段來(lái)影響傳感器的正常工作����。
欺騙攻擊:欺騙攻擊有簡(jiǎn)單、隨機(jī)和高級(jí) 3 種類型��。簡(jiǎn)單欺騙攻擊利用虛假信號(hào)來(lái)誤導(dǎo)傳感器��,而隨機(jī)欺騙攻擊則利用預(yù)先記錄的合法信號(hào)來(lái)模擬真實(shí)環(huán)境�����,高級(jí)欺騙攻擊通過(guò)監(jiān)聽(tīng)傳入信號(hào)����、偽造反射信號(hào)并將其發(fā)送回傳感器來(lái)欺騙傳感器��。
(3)攝像頭
在 ADAS 中��,攝像頭是必需的傳感器之一,用于識(shí)別車輛周圍的環(huán)境����,檢測(cè)交通標(biāo)志以及避免與其他物體碰撞。然而����,攝像頭也面臨著受到致盲攻擊和欺騙攻擊的風(fēng)險(xiǎn)。
致盲攻擊:在 ADAS 汽車中����,攝像頭用于檢測(cè)交通標(biāo)志等,以及在夜間駕駛時(shí)幫助駕駛員使用傳感器數(shù)據(jù)檢測(cè)附近的物體����,從而避免與其他物體碰撞。然而��,攻擊者可以使用致盲攻擊來(lái)禁用車輛攝像頭���。致盲攻擊通過(guò)將強(qiáng)激光束聚焦在攝像頭上�����,導(dǎo)致更高的色調(diào)值���,從而致盲攝像頭�����,導(dǎo)致車輛感覺(jué)完全失明��。這可能會(huì)導(dǎo)致車輛失控或者突然停車�,從而增加駕駛員和乘客的安全風(fēng)險(xiǎn)���。攝像頭的工作原理與人眼非常相似: 光圈會(huì)隨著視網(wǎng)膜擴(kuò)張以適應(yīng)可用光而進(jìn)行調(diào)整���。致盲攻擊的成功與否取決于三個(gè)變 量:環(huán)境光、人造光源�����、攝像頭與人造光源的距離����。距離越遠(yuǎn)����,光源必須越強(qiáng)��。測(cè)試 發(fā)現(xiàn)紅外光能直接使車載攝像頭失明��,無(wú)法識(shí)別前方物體��。因此��,必須采取措施來(lái)防止致盲攻擊��,例如增加攝像頭的抗干擾性能�����,使用其他傳感器作為備份�,等等�。
欺騙攻擊:攝像頭欺騙攻擊是一種針對(duì) ADAS 汽車的安全威脅。攻擊者可以利用這種攻擊欺騙車載攝像頭���,使其識(shí)別錯(cuò)誤的物體或交通標(biāo)志��。攻擊者可以在攝像頭的視野內(nèi)放置假標(biāo)志或其他物體�,或通過(guò)欺騙自動(dòng)曝光控制�、自動(dòng)對(duì)焦或降低光敏感度等方式來(lái)干擾攝像頭的正常運(yùn)行。盡管攝像頭可以通過(guò)算法來(lái)平衡光照條件��,但直射光仍然會(huì)降低攝像頭的曝光度和靈敏度,從而降低圖像質(zhì)量并遮擋道路上的物體�。攻擊者可以利用這種漏洞來(lái)欺騙車載攝像頭,從而對(duì)駕駛員和乘客的安全構(gòu)成威脅��。
(4)雷達(dá)
雷達(dá)傳感器是一種使用電磁信號(hào)來(lái)測(cè)量與附近物體的距離并確定信號(hào)從發(fā)射到接收所經(jīng)歷時(shí)間的設(shè)備�。目前大多數(shù)雷達(dá)傳感器使用毫米波頻段(mmW)。這些傳感器可用于許多應(yīng)用�,例如遠(yuǎn)程雷達(dá)用于自適應(yīng)巡航控制(ACC),中程雷達(dá)用于車道變換助手(LCA)��,短程雷達(dá)用于提醒司機(jī)停車時(shí)可能會(huì)遇到障礙物�。然而,雷達(dá)傳感器也面臨著受到干擾攻擊和欺騙攻擊的風(fēng)險(xiǎn)�����。
干擾攻擊:在干擾攻擊期間��,攻擊者可能會(huì)干擾雷達(dá)傳感器信號(hào)的某些頻段�,這種信號(hào)干擾可能會(huì)降低傳感器的信噪比,從而導(dǎo)致雷達(dá)系統(tǒng)失去檢測(cè)附近物體的能力�����。
欺騙 / 中繼攻擊:欺騙 / 中繼攻擊與上述激光雷達(dá)原理相同����,因此在此不再贅述。
04 多傳感器融合攻擊
在 ADAS 領(lǐng)域����,研究人員通常認(rèn)為多傳感器融合(MSF)算法可以有效對(duì)抗 GPS 欺騙攻擊。然而����,加州大學(xué)爾灣分校(UCI)的研究人員通過(guò)仿真環(huán)境測(cè)試發(fā)現(xiàn),MSF 算法存在接管漏洞�,使得這種目前 ADAS 領(lǐng)域最強(qiáng)的定位算法被攻破。這項(xiàng)最新研究的采用了 FusionRipper 攻擊方法��,它能夠抓住接管漏洞出現(xiàn)的窗口期����,對(duì)行駛中的 ADAS 車輛進(jìn)行攻擊。研究人員利用這種漏洞構(gòu)建攻擊并實(shí)現(xiàn)超過(guò) 97% 的攻擊成功率���,導(dǎo)致受害者的自動(dòng)駕駛車輛偏離道路���。
什么是接管漏洞?研究人員通過(guò)實(shí)驗(yàn)分析發(fā)現(xiàn),MSF 算法受到實(shí)際應(yīng)用中存在的動(dòng)態(tài)因素(如傳感器噪聲和算法誤差)的影響�����,存在可信度相對(duì)降低的窗口期����。在這期間,GPS 欺騙可能會(huì)導(dǎo)致 MSF 輸出的偏差呈指數(shù)級(jí)增長(zhǎng)�����。由于 GPS 在某種程度上成為 ADAS 汽車定位的主導(dǎo)輸入源��,這會(huì)導(dǎo)致多傳感器交叉驗(yàn)證的機(jī)制失效�����,并最終導(dǎo)致 MSF 拒絕其他輸入源����,從根本上違反了 MSF 算法的設(shè)計(jì)原則。這也可以理解為短板效應(yīng)��。
基于接管漏洞����,研究人員設(shè)計(jì)了 FusionRipper 攻擊方法���。這種攻擊方法能夠抓住接管漏洞出現(xiàn)的窗口期���,對(duì)行駛中的 ADAS 車輛進(jìn)行攻擊��。攻擊方法主要分為兩個(gè)階段(見(jiàn)圖 2)�。
圖2 FusionRipper 攻擊方法(圖片來(lái)自 UCI 的研究)
階段 1 :漏洞分析階段��。攻擊者開(kāi)始 GPS 欺騙���,并在 MSF 可信度下降的窗口期出現(xiàn)時(shí)�, 測(cè)量目標(biāo) ADAS 車輛的反饋信息來(lái)進(jìn)行分析����。
階段 2:攻擊性欺騙階段。在識(shí)別出窗口期之后�����,攻擊者不斷進(jìn)行欺騙測(cè)試�����,以觸發(fā)接管效應(yīng),快速誘發(fā)出最大偏差��。
攻擊方式有兩種:其一����,車道偏離攻擊,目的是讓目標(biāo) ADAS 汽車向左或向右偏離車道��, 直至駛出路面����;其二,錯(cuò)道攻擊�����,目的是讓目標(biāo) ADAS 汽車向左偏離�,駛?cè)肽嫦蜍嚨馈?/span>
05 無(wú)線通信攻擊
網(wǎng)絡(luò)攻擊可以通過(guò)無(wú)線通信來(lái)實(shí)施。前文已經(jīng)詳細(xì)介紹了無(wú)線攻擊的原理和實(shí)戰(zhàn)�����,這里 只介紹與 ADAS 緊密相關(guān)的無(wú)線通信技術(shù)����。
1��、藍(lán)牙攻擊
在過(guò)去��,黑客通常通過(guò)藍(lán)牙攻擊來(lái)實(shí)現(xiàn)對(duì)車輛的控制���,這種攻擊方式需要在距離車輛不超過(guò) 30 m 的范圍內(nèi)進(jìn)行����,以便建立藍(lán)牙連接。
藍(lán)牙網(wǎng)絡(luò)為網(wǎng)絡(luò)攻擊者提供了攔截汽車和手機(jī)之間傳遞的數(shù)據(jù)與圖像的能力�。藍(lán)牙攻擊示例有 BlueBorne 和 Carwhisperer 。BlueBorne 攻擊主要利用藍(lán)牙堆棧中的漏洞�����,在所有者不知情的情況下連接到設(shè)備���,并獲取最高命令執(zhí)行權(quán)限��。這樣���,攻擊者就可以在設(shè)備上執(zhí)行各種操作���,例如監(jiān)聽(tīng)、修改數(shù)據(jù)�����、讀取和跟蹤等���,從而滲透并完全控制 ADAS 車輛��。而 Carwhisperer 是一種黑客技術(shù)��,攻擊者會(huì)使用汽車藍(lán)牙設(shè)備默認(rèn)的 PIN 碼�,通過(guò)模擬手機(jī)連接到車輛系統(tǒng)����, 一旦連接成功,就可以控制車輛上的各種藍(lán)牙應(yīng)用系統(tǒng)并獲取相關(guān)信息���。
2�����、Wi-Fi 攻擊
與藍(lán)牙相比�,在考慮車輛連接性時(shí),Wi-Fi 是一種更穩(wěn)定����、更安全的協(xié)議,但它也存在安全風(fēng)險(xiǎn)��。Wi-Fi 攻擊通常通過(guò) Wi-Fi信號(hào)弱點(diǎn)來(lái)攻擊車輛網(wǎng)絡(luò)���,攻擊者可以通過(guò)偽造公共 Wi-Fi 熱點(diǎn)來(lái)引誘車輛上的人員連接��,并從中獲取信息或者進(jìn)行進(jìn)一步攻擊���。Wi-Fi 攻擊的示例有 WiPhishing 和 Evil Twin 攻擊����。WiPhishing 攻擊利用偽造的公共 Wi-Fi 熱點(diǎn)來(lái)誘騙車輛上的人員提交個(gè)人信息,如用戶名和密碼����,進(jìn)而竊取這些信息�����。Evil Twin 攻擊則是攻擊者偽造與真實(shí) Wi-Fi熱點(diǎn)相同的熱點(diǎn)名稱和密碼���,誘騙車輛上的用戶連接��,并在此過(guò)程中竊取信息或者進(jìn)行進(jìn)一步攻擊。
3����、GNSS 攻擊
ADAS 汽車使用 GNSS 獲取其地理位置���,通過(guò)計(jì)算消息的傳輸和到達(dá)時(shí)間來(lái)確定它們與至少 4 顆衛(wèi)星的距離位置�。然而,由于 GNSS 使用的擴(kuò)頻碼是公開(kāi)的,而且 GNSS 是一個(gè)開(kāi)放標(biāo)準(zhǔn)架構(gòu)�,因此 GNSS 通信容易受到攻擊(見(jiàn)圖18-20)���。因?yàn)锳DAS汽車依賴于GNSS�, 所以對(duì) ADAS 汽車內(nèi)的 GNSS 的攻擊優(yōu)先級(jí)高于對(duì)攝像頭傳感器的攻擊。GNSS 信號(hào)欺騙是指通過(guò)真實(shí)的 GNSS 信號(hào)廣播假信號(hào)來(lái)控制 GNSS 接收器��,使其錯(cuò)誤地跟蹤這些信號(hào)�����。攻擊者可以利用 GNSS 信號(hào)的低功耗和提供具有更高信號(hào)強(qiáng)度的虛假 GNSS 信號(hào)來(lái)壓倒原始信號(hào)并破壞數(shù)據(jù)的完整性����。攻擊者可以篡改 GNSS 接收器,使其計(jì)算錯(cuò)誤的位置和時(shí)間����,中斷 GNSS 接收器����,阻止接收器定位����。
(1)干擾攻擊
在 GNSS 干擾攻擊中,攻擊者利用干擾器向 GNSS 傳感器發(fā)射無(wú)線電噪聲���,導(dǎo)致信號(hào)被干擾����,從而使車輛無(wú)法準(zhǔn)確地定位����。這是最簡(jiǎn)單的攻擊之一����,因?yàn)楦蓴_器價(jià)格便宜���,易于獲取,且廣泛可用。攻擊者只需向工作頻率(如 1575.42 MHz)添加足夠多的噪聲信號(hào),就能使車輛的接收器無(wú)法區(qū)分真實(shí)信號(hào),從而造成嚴(yán)重后果����。
圖 3 GNSS 欺騙攻擊
(2)黑洞攻擊
黑洞攻擊指的是攻擊者丟棄數(shù)據(jù)而不是將其轉(zhuǎn)發(fā)到目的地�,從而在網(wǎng)絡(luò)中形成一個(gè)黑洞����, 導(dǎo)致通信中斷的一種攻擊方式。在車輛通信網(wǎng)絡(luò)中,黑洞攻擊可能會(huì)導(dǎo)致車輛之間的信息無(wú)法傳遞,相互孤立��。攻擊者可以通過(guò)偽造 GNSS 數(shù)據(jù)和虛假路由信息來(lái)進(jìn)行黑洞攻擊�,并通過(guò)惡意節(jié)點(diǎn)丟棄相關(guān)數(shù)據(jù)包以確保信息不到達(dá)目標(biāo)節(jié)點(diǎn)����?���;叶垂羰呛诙垂舻囊环N變體��, 攻擊者交替執(zhí)行正常行為和隨機(jī)丟棄數(shù)據(jù)包��,比黑洞攻擊更難以檢測(cè)��。鏈路狀態(tài)路由和 Ad- hoc On-demand 距離向量等路由協(xié)議可以為黑洞攻擊提供支持���。
06 V2X攻擊
對(duì)基礎(chǔ)設(shè)施的攻擊本質(zhì)上還是 V2X 攻擊��。 V2X 系統(tǒng)有兩種通信標(biāo)準(zhǔn):專用短程通信 (DSRC)和蜂窩技術(shù)(C-V2X)��。
1��、V2X 的基礎(chǔ)要求
V2X(Vehicle-to-Everything)技術(shù)對(duì)于安全高效的 ADAS 至關(guān)重要���,主要包含以下幾點(diǎn)。
準(zhǔn)確的車輛信息:通過(guò) V2X 技術(shù)��,車輛可以獲取到周圍車輛的準(zhǔn)確數(shù)據(jù)���,例如速度�����、航向��、制動(dòng)踏板狀態(tài)等��。這些數(shù)據(jù)對(duì)于 ADAS 的決策和操作至關(guān)重要�,一旦數(shù)據(jù)被篡改,可能會(huì)引發(fā)不可預(yù)測(cè)的風(fēng)險(xiǎn)���。
感應(yīng)障礙物:ADAS 汽車可以通過(guò) V2X 傳感器獲得無(wú)法直接觀察到的警報(bào),這對(duì)于保障車輛和行人的安全非常重要���,并且有助于 ADAS 汽車做出更好的決策���。
紅綠燈狀態(tài)和時(shí)間:依靠 V2X 技術(shù)提供的數(shù)據(jù),ADAS 汽車可以根據(jù)交通信號(hào)燈的周期來(lái)調(diào)整行駛速度��,同時(shí)交通信號(hào)燈也可以根據(jù)車輛擁堵情況進(jìn)行自主調(diào)整����,從而提高道路交通效率。
適應(yīng)環(huán)境:雖然霧和光線等環(huán)境因素會(huì)限制某些傳感器的功能����,但是 V2X 技術(shù)要求 ADAS 在任何天氣和照明條件下都可以安全、可靠地運(yùn)行�。這需要傳感器融合技術(shù), 以適應(yīng)不同的環(huán)境條件���。
2��、V2X 攻擊方式
V2X 這類基礎(chǔ)設(shè)施對(duì) ADAS非常重要��,是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)�。V2X 攻擊分類如圖 4 所示。
圖 4 V2X 攻擊分類
V2X 網(wǎng)絡(luò)中有兩種特殊的攻擊類型:證書(shū)復(fù)制和女巫攻擊�。證書(shū)復(fù)制是指攻擊者通過(guò)復(fù)制合法車輛的證書(shū),偽裝成合法車輛并向認(rèn)證機(jī)構(gòu)隱藏自己�����。而女巫攻擊(見(jiàn)圖 5 )則是 指網(wǎng)絡(luò)中的某些節(jié)點(diǎn)謊稱自己擁有多個(gè)身份�,這種攻擊在分布式網(wǎng)絡(luò)中尤其常見(jiàn)。女巫攻擊名稱的靈感來(lái)自一本名為 Sybil 的小說(shuō)��,該小說(shuō)的主人公患有多重人格障礙���,基于相似性的聯(lián)想�,微軟研究院的 Brian Zill 建議將這種攻擊方式命名為 Sybil Attack(女巫攻擊)��。女巫攻擊之所以存在����,是因?yàn)榉植际骄W(wǎng)絡(luò)很難保證每一個(gè)未知節(jié)點(diǎn)的身份是可靠的�。
在 V2X 網(wǎng)絡(luò)環(huán)境中�,道路上生成的所有數(shù)據(jù)都由 RSU 收集和發(fā)送。攻擊者可以通過(guò)女巫攻擊將欺騙節(jié)點(diǎn)偽造成 ADAS 汽車或者 RSU設(shè)備���。具體而言���,攻擊者首先找到存在弱點(diǎn)的ADAS 汽車,然后使用女巫攻擊對(duì)該車輛進(jìn)行攻擊����。攻擊信息會(huì)被上傳至 RSU���,由于 RSU 安裝在外部����,很容易被攻擊者破壞或者未對(duì)信息進(jìn)行驗(yàn)證就被傳遞到控制中心�����?����?刂浦行男湃?ADAS 汽車傳遞的信息,并將道路繞行信息傳遞給接近攻擊區(qū)域附近的車輛�,從而將包含攻擊企圖的信息傳遞給其他車輛。這可能會(huì)導(dǎo)致交通擁堵或者事故��。
圖 5 V2X 中的女巫攻擊
因此,汽車網(wǎng)絡(luò)安全屬性需要 CIACA����,其中身份認(rèn)證尤為重要����,只有這樣才能確保 V2X 網(wǎng)絡(luò)中的數(shù)據(jù)安全和網(wǎng)絡(luò)安全。
07 算法攻擊
雖然算法攻擊并不是 ADAS 引入的問(wèn)題����,但要想確保算法的安全對(duì)抗,需要長(zhǎng)期的積累����。 這些算法系統(tǒng)的主要作用是識(shí)別交通標(biāo)志和道路標(biāo)記,檢測(cè)車輛��,估計(jì)其速度并規(guī)劃前方路徑����,但是這些系統(tǒng)的持續(xù)工作也使 ADAS 汽車變得更加脆弱����。除了人工智能系統(tǒng)中的突然故障等無(wú)意威脅之外���,還有一些旨在專門損害人工智能系統(tǒng)的安全關(guān)鍵功能的對(duì)抗攻擊�����。例如��, 攻擊者可能會(huì)對(duì)道路進(jìn)行粉刷以誤導(dǎo)導(dǎo)航系統(tǒng)��,或者在停車標(biāo)志上粘貼貼紙以防止其被識(shí)別。這種攻擊可能導(dǎo)致人工智能系統(tǒng)錯(cuò)誤地對(duì)物體進(jìn)行分類��,從而使 ADAS 汽車以危險(xiǎn)的方式運(yùn)行��。雖然算法攻擊不是本書(shū)的重點(diǎn)���,但我們?nèi)詴?huì)簡(jiǎn)單地描述一下相關(guān)情況����。
1、圖像識(shí)別
圖像識(shí)別系統(tǒng)使用深度學(xué)習(xí)算法對(duì)道路標(biāo)志等圖像進(jìn)行分類����。
2、物體檢測(cè)
ADAS 汽車使用對(duì)象檢測(cè)算法檢測(cè)車輛���、道路和車牌等物體���。這種算法可以被對(duì)抗性攻擊干擾。
3�、語(yǔ)義分割
語(yǔ)義分割系統(tǒng)可以將圖像中的每個(gè)像素分類到預(yù)定的類別中,以便無(wú)人駕駛車輛識(shí)別車道�、交通信號(hào)燈、路標(biāo)�����、高速公路和其他重要信息��。
4�、語(yǔ)音識(shí)別
語(yǔ)音識(shí)別系統(tǒng)易受對(duì)抗性語(yǔ)音命令的影響,從而導(dǎo)致無(wú)人駕駛汽車出現(xiàn)不良行為或事故��。
在線咨詢
在線咨詢
0371-63319761