Grün statt rot: Forscher täuschen Ampel-Erkennung für autonome Autos
Fahrerlose Autos können mit Lasern dazu verleitet werden, eine rote Ampel als grün zu interpretieren. Das haben Forschende jetzt demonstriert.
Während allmählich auch die rechtlichen Rahmenbedingungen für den Betrieb von "Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion" geschaffen werden, diskutieren Sicherheitsforscher, wie robust beziehungsweise anfällig deren technische Systeme gegen böswillige Angriffe sind. Laut einem für die diesjährige Usenix Konferenz eingereichtem Paper gelang es einem chinesisch-amerikanischen Team, in 86 Prozent ihrer Attacken der Bilderkennung des Autos eine grüne Ampel vorzugaukeln, obwohl die Ampel eigentlich rot zeigte. Im umgekehrten Fall gelang die Täuschung allerdings nur in 30 Prozent der Fälle.
Die meisten der bislang gezeigten Schwachstellen richten sich gegen die automatische Bilderkennung der Fahrzeuge, da diesen Systemen oft ein tiefes, neuronales Netz zu Grunde liegt. Bereits 2017 konnten Forschende jedoch zeigen, dass diese tiefen neuronalen Netze sich jedoch mit Hilfe von modifiziertem Dateninput – so genannten adversarial attacks – böswillig manipulieren lassen. Bei diesen Angriffen werden in den Input-Bildern einige Pixel gezielt geändert, was dazu führt, dass das neuronale Netz das Bild in eine völlig andere Kategorie einordnet. In der Praxis demonstrierten Forschende der Stanford University das, indem sie mit Klebestreifen ein unauffälliges Muster von Linien und Punkten auf Verkehrsschildern anbrachten.
Ampel-Erkennung hacken
Die Ampelphasen-Erkennung scheint jedoch wesentlich schwieriger zu täuschen zu sein. Jedenfalls, schreiben Chen Yam von der chinesischen Zhejiang University und seine Kollegen, sei die Forschung zu diesem Problem bislang eher spärlich. Nur einer einzigen Gruppe sei es gelungen, die Ampel-Erkennung zu hacken, indem sie die Bilderkennung von der Ampel weg auf einen anderen Bildabschnitt umlenkten. Eunji Lee und Kollegen von der Standford University gelang es jedoch nicht, diese Erfolge zu reproduzieren.
Chen Yan und seine Kollegen beschlossen daher, die Ampelerkennung direkt auf der physikalischen Ebene anzugreifen, indem sie mit einem Laser in die Kamera des autonomen Autos leuchten. Das Team richtete einen Laser auf die Sensoren von fünf Kameramodellen, die von fahrerlosen Autos verwendet werden, wobei zwei Open-Source-Softwarepakete die von der Kamera aufgenommenen Bilder auswerteten.
Zwar kann ein Laser mit genügend Leistung den Sensor der Auto-Kamera in die Überbelichtung treiben. Die Bilderkennung findet dann keine Ampel, obwohl laut Ortung oder Karte eine Ampel vorhanden sein müsste. Das Auto geht dann in einen sicheren Zustand und hält an. Die Forschenden waren allerdings darauf aus, dem System eine falsche Ampelfarbe zu präsentieren. Dabei müsse man darauf achten, dass der Laser mit seinem intensiven Licht den Sensor der Kamera nicht außer Gefecht setzt, schrieben sie – und natürlich insbesondere das vorhergehende Lokalisieren der Ampel nicht beeinflusst.
Mit dem Laser auf autonomes Auto zielen
Um das Problem zu lösen, machten sich die "Angreifer" zu Nutze, dass viele Kameras in autonomen Autos mit so genannten "Rolling Shutter" arbeiten. Das bedeutet, dass nicht der gesamte Sensor auf einmal belichtet wird, sondern die Bildinformationen des Sensors Zeilenweise aufgenommen und auch ausgelesen wird, als ob ein Schlitz über der Sensor "rollen" würde. Wenn der Laser immer nur kurz aufblitzt, während der Sensor eine Zeile erfasst, erzeugt er einen farbigen, horizontalen Streifen im Bild, so dass die Bilderkennung getäuscht wird.
Um zu demonstrieren, dass solch ein Angriff tatsächlich funktioniert, bauten Yan und Kollegen ihren Laser an ein kleines Teleskop, mit dem es ihnen gelang, aus bis zu 40 Metern Entfernung die Kamera eines Autos zu treffen, das mit bis zu 20 Stundenkilometern Geschwindigkeit unterwegs war. Um die Sicherheitslücke zu schließen, empfehlen die Forschenden dringend, die Bildsensoren nicht mehr zeilenweise nacheinander auszulesen, sondern zufällig zwischen den Zeilen zu springen.
(wst)