Google, Uber och till och med Apples potentiella självkörande bil kan alla folieras av lite mer än en hemmabryggad laserpekare tack vare deras Lidar-sensorsystem.
Jonathan Petit, huvudforskare på mjukvarusäkerhetsföretaget Säkerhetsinnovation, har avslöjat en gapande säkerhetssårbarhet i Lidar-sensorer – i huvudsak ögonen på alla självkörande bilar. I en forskningsrapport som kommer att presenteras på Black Hat Europe säkerhetskonferens i november beskriver Petit hur en lågeffektlaser och pulsgenerator kan lura en bil att tro att andra bilar och fotgängare finns runt den.
Sårbarheten innebär att självkörande bilar kan stanna mitt på vägen när de tror att en annan bil eller person plötsligt har dykt upp i sikte. I en situation där självkörande bilar och vanliga bilar delar vägen behöver jag inte peka på farorna med ett sådant hack.
Vi har sett andra anslutna bilhack, inklusive ett som resulterade i att 1,4 miljoner jeepar återkallades, men Petits attack fungerar genom att lura en bil snarare än att avslöja dess svaga säkerhet.
Efter att ha bestämt sig för att avslöja säkerhetsproblemen kring autonoma bilar började Petit med att spela in pulser från en kommersiell Ibeo Lux Lidar-enhet. När han upptäckte att pulserna inte var kodade eller krypterade, kunde han helt enkelt använda dem vid ett senare tillfälle för att lura enheten att tro att föremål fanns där när de inte fanns. ”Den enda knepiga delen var att synkroniseras, att avfyra signalen tillbaka mot Lidar vid rätt tidpunkt,” sa Petit. ”Då trodde lidaren att det uppenbarligen fanns ett föremål där.”
”Jag kan förfalska tusentals objekt och i princip utföra en denial-of-service attack på spårningssystemet så att det inte kan spåra riktiga objekt.” Enligt IEEE, Petits attack fungerade från alla håll från upp till 100 meters avstånd, och krävde inte att han noggrant skulle fokusera på Lidar-enheten med sin laserstråle.
Medan Petit erbjuder en lösning som använder ”felbeteendedetektering” för att filtrera bort osannolika hinder, tror han inte att biltillverkare ens har tänkt på att göra något sådant. Det finns för närvarande inga kommersiella autonoma bilar på vägen för allmänheten, så det finns fortfarande gott om tid för Google och andra självkörande biltillverkare att införa krypteringsmetoder.
I slutändan är det här senaste bilhacket ytterligare en signal om att industrier som vanligtvis är avskilda från datasäkerhet nu måste börja ta det på allvar.
