安全研究人员设法获得了对特斯拉Model S汽车自动驾驶系统的远程控制,并借助游戏操纵杆对其进行控制。 因此,他们提请注意现代驾驶员辅助系统(高级驾驶员辅助系统,ADAS)的潜在安全问题,其任务恰恰是提高驾驶者的安全性。一份
新的出版物详细介绍了研究的细节,腾讯基恩安全实验室的研究人员成功激活了Tesla Tesla Autopilot自动驾驶仪系统,并获得了对该系统的控制权。
该组织此前在Black Hat USA 2018安全会议上证明了其发现,然后发布了
一段演示黑客攻击的
视频 。 这份新报告描述了通过利用
电子控制单元(ECU )中的多个漏洞来获得汽车自动驾驶系统控制权的三种方法。
研究人员强调了打破ECU自动驾驶系统18.6.1版的三项主要成就。 首先,他们利用自动刮水器的图像识别系统中的错误激活了刮水器。 其次,通过在干扰路线识别系统的道路上放置干扰性标签,他们迫使特斯拉机动进入迎面而来的车道。 第三,即使驾驶员未激活自动驾驶仪,他们也可以远程控制汽车的控制。
研究人员在一份报告中总结道:“因此,证明了通过稍微改变物理环境,我们可以在一定程度上控制汽车而无需与之远程连接。我们希望通过一系列测试揭示的潜在缺陷将引起人们的关注。制造商的两面,这将提高其自走式机器的稳定性和可靠性。”
进展风险
当然,研究人员声称,他们在成功破坏自动驾驶系统后通知了特斯拉,据腾讯称,特斯拉“立即修复”了许多错误。
腾讯基恩安全实验室的研究人员已经能够破坏特斯拉Model S.完美的驾驶员辅助系统的自动驾驶系统(来源:特斯拉)无论如何,该研究表明存在迫在眉睫的危险,这可能是黑客可能利用现代汽车的开放性和智能作为攻击的基础。 在《连线》杂志
2015年发布
的吉普切诺基 (
Jeep Cherokee)骇客攻击中,第一次生动地展示了这一机会。
“普通的现代汽车包含数百个传感器和许多车载计算机,每个传感器都可能容易受到物理,软件和/或逻辑攻击,” Kenna Security安全情报首席工程师Jerry Gamblin在接受Security Ledger采访时说。 。 “这一事实为汽车制造商必须预防的攻击创造了令人惊叹的基础,也为潜在的攻击者创造了广阔的目标领域。”
自从进入吉普车以来,汽车变得更加复杂。 因此,在汽车工业中,Tesla Autopilot等ADAS技术正在迅速发展
这些系统应增强驾驶员的能力,并为汽车提供智能安全系统,例如防撞系统,以提高安全性。 同时,增加的复杂性使此类系统在受到威胁时可能具有破坏性,这使人们对使用ADAS技术的安全性产生怀疑。
特权平等控制
Keen Security Labs的研究人员表示,他们使用了ROOT凭证(
通过利用许多漏洞进行远程连接获得-大约是Transl)。在执行最可怕的骇客攻击部分时,他们以“非接触式”方式控制了Tesla控制系统他们写。 研究人员使用特权在汽车行驶时发送自动驾驶控制命令。
由于使用了改进的优化算法来创建所谓的“交战元素”,从而影响了刮水器和履带控制系统,该算法被馈送到相应车辆系统的输入端。
研究人员发现,刮水器和道路识别系统均基于相机数据做出决策。 因此,欺骗他们并不是很困难,迫使他们“看到”实际上不存在的条件。
研究人员通过将图像发送到刮水器的神经网络并在道路识别系统的情况下修改道路标记来实现这一目标。 在两个实验中,系统都对“看到”的内容做出了回应,而不是实际的道路状况。
竞争对手的模型也受到密切监控。 尽管越来越多的系统依赖机器学习,但越来越多的研究人员正在寻找影响其工作,
提供错误输入的方法 。
特斯拉的答案
腾讯记(Tencent Keen)在他们的博客上发布了特斯拉对黑客攻击的回应,令人惊讶的是,这显然是防御性的。 该公司拒绝了雨刮器和道路识别系统的妥协,因为它们“不会在现实生活中发生”,因此不应引起驾驶员的关注。
特斯拉在回应中还强调,如果需要,驾驶员可以关闭自动刮水器系统。 此外,它们还具有“使用方向盘或制动踏板切换到手动控制的能力,并且必须时刻准备着做到这一点”,尤其是在怀疑系统无法正常工作的情况下。
在谈到劫持汽车时使用ROOT特权时,特斯拉提醒研究人员,该公司在2017年更新安全系统以及随后在去年进行广泛的系统更新时修复了报告中描述的主要漏洞(该
漏洞已在软件版本2018.24中修复-大约。 perev。 )。 此外,根据特斯拉的回应,特斯拉说,甚至在腾讯基恩安全实验室将其研究报告告诉特斯拉之前,这两个更新均已发布。
该公司补充说:“多年来,我们一直在道路上生产汽车,我们从未见过一个消费者成为报告中提到的任何漏洞的受害者。”
撇开公司的抗议,安全专家们仍然不相信,ADAS系统,例如Tesla Autopilot,如果受到入侵者的控制,不会造成混乱和破坏。 “制造商在开发新系统时应考虑到这一点,” Jerry Gamblin说。
专家建议说:“有必要将大部分注意力集中在确保在安全方面受到损害的系统的安全性上,这些安全性可能对消费者和其他乘客造成严重伤害。” “制造商必须最佳地分配资金,并正确应对由于攻击辅助系统而引起的任何困难,并且可能影响最终用户,而最终用户绝不应该受到威胁。”