Robert Klatt
Die Ampelphasen-Erkennung von autonomen Autos konnte bisher kaum getäuscht werden. Ein simpler Trick erzielte nun eine sehr hohe Erfolgsquote.
Hangzhou (China). Immer mehr Unternehmen erproben aktuell Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion. Diese könnten laut einer Studie in den U.S.A. einen Großteil aller Lkw-Langstreckenfahrten in den kommenden Jahren ohne menschlichen Fahrer absolvieren. Damit dies tatsächlich Realität werden kann, sind neben den rechtlichen Rahmenbedingungen auch technische Systeme nötig, die gegen Angriffe abgesichert sind.
Bisher haben sich die meisten Schwachstellen gegen die Bilderkennung der Fahrzeuge gerichtet, die meist auf einem neuronalen Netz basiert. Wissenschaftler konnten laut einer Publikation im Fachmagazin Cryptography and Security jedoch bereits 2017 demonstrieren, dass die Künstliche Intelligenz (KI) mittels einem modifiziertem Dateninput (adversarial attacks) manipuliert werden kann. Wie es möglich ist, die KI eines autonomen Autos in der Praxis zu täuschen, demonstrierten Forscher der Stanford University (PDF) mit Klebestreifen, mit denen sie auf Verkehrsschildern ein unauffälliges Muster von Linien und Punkten anbrachten. Anschließend erkannte die KI im Experiment die Bilder vollkommen falsch.
Die autonome Erkennung von Ampelphasen lässt sich mit den bisher getesteten Methoden jedoch kaum täuschen. Bisher gelang dies nur einer einzelnen Gruppe, die ihre Ergebnisse in den Proceedings of the 2020 ACM Southeast Conference veröffentlicht hat. Sie lenkten dazu die Bilderkennung von der Ampel auf einen anderen Bildabschnitt um. Reproduzieren konnten diesen Angriff Wissenschaftler der Stanford University (PDF) jedoch nicht.
Wissenschaftler der Zhejiang University haben auf der Usenix Konferenz (PDF) nun eine Möglichkeit vorgestellt, mit der sie die Bilderkennung eines autonomen Fahrzeugs mit einer hohen Erfolgsquote täuschen konnten. Das Fahrzeug erkannte in fast allen Fällen (86 %) eine Ampel als grün, obwohl diese eigentlich rot war. Umgekehrt war die Erfolgsquote (30 %) deutlich geringer.
Dies gelang den Forscher um Chen Yan, indem sie die Ampelerkennung auf der physikalischen Ebene angriffen. Sie richteten dazu einen Laser auf die Sensoren von fünf Kameramodellen, mit denen das Fahrzeug die Ampelphase erkennt. Die dabei aufgenommenen Bilder werden von zwei Open-Source-Softwarepakete analysiert.
Laut den Autoren reicht bereits ein Laser aus, um eine Überbelichtung der Auto-Kameras zu erreichen. Die Bilderkennung findet daraufhin keine Ampel mehr, obwohl diese laut den Kartendaten vorhanden sein müsste. Daraufhin beendet das autonome Fahrzeug seine Fahrt und geht in einen Ruhezustand.
Das eigentliche Ziel der Wissenschaftler war es jedoch, dass die Systeme des autonomen Fahrzeugs eine falsche Ampelfarbe erkennen. Sie konnten die Kameras also nicht mit einem so intensiven Licht beleuchten, dass diese nicht mehr funktionieren, weil dies das Lokalisieren der Ampel verhindert und das Fahrzeug stoppt.
Zur Lösung dieses Problems nutzten die Wissenschaftler das sogenannte „Rolling Shutter“, das viele Kameras in autonomen Autos nutzen. Es handelt sich hierbei um ein Verfahren, bei dem nicht der gesamte Sensor gleichzeitig belichtet wird, sondern der Sensor Bildinformationen zeilenweise aufzeichnet und weitergibt. Das Bild wird also so aufgenommen, als ob sich dabei ein Schlitz über den Sensor bewegt. Dies konnten die Wissenschaftler nutzen, indem sie den Laser immer nur kurz aktivierten, wenn der Sensor eine neue Zeile erfasst. Sie erzeugten so einen farbigen, horizontalen Streifen, der die Bilderkennung täuschte.
Um ihre Angriffsmethode zu demonstrieren, bauten die Wissenschaftler den Laser an ein kleines Teleskop. Sie konnten so aus etwa 40 Metern Entfernung die Kamera eines autonomen Autos treffen, das mit 20 km/h fuhr. Die Wissenschaftler empfehlen, dass die Kameras der autonomen Fahrzeuge nicht mehr zeilenweise die Bilder verarbeiten sollen, sondern stattdessen zufällig zwischen den Zeilen springen, um die Sicherheitslücke zu schließen.
Cryptography and Security, doi: 10.48550/arXiv.1707.08945
Proceedings of the 2020 ACM Southeast Conference, doi: 10.1145/3374135.3385288