黑客攻擊可能的具體方式

基于文獻(xiàn)中討論的不同攻擊模式,識別出了針對自動駕駛車輛的四種可能的黑客攻擊方式�？紤]到這些系統(tǒng)的進化特性以及黑客對這些變化的適應(yīng)性,很難明確所有可能的攻擊。

自動駕駛車輛組件

1) 禁用攻擊各種文獻(xiàn)中討論了多種攻擊方式,如關(guān)閉發(fā)動機、重新配置發(fā)動機氣缸的點火正時以干擾其工作、不斷啟動點火鎖等。所有這些攻擊都會禁用一個或多個AV系統(tǒng)。攻擊造成的實際損害取決于其發(fā)生的時點。如果在一輛車停在車位的時候關(guān)閉了點火開關(guān),除了司機感到不方便之外,對任何人來說都不是問題。如果汽車在攻擊發(fā)生時正在市內(nèi)導(dǎo)航行駛,那么潛在的危害性就會增加。這種可變性說明了在評估被黑客攻擊的AV的影響時需要探索場景范圍。

2) 過度提供服務(wù)攻擊過度提供服務(wù)攻擊采取與禁用攻擊相反的方法,它使AV提供服務(wù)或在沒有要求服務(wù)或任何行動需要時采取行動。此類攻擊的例子包括超速、制動或不制動、轉(zhuǎn)向或不轉(zhuǎn)向。類似與這種攻擊的一個例子是對網(wǎng)站的拒絕服務(wù)攻擊。在這種攻擊中,數(shù)以百萬計的服務(wù)請求被發(fā)送到服務(wù)器,目的是使該服務(wù)器超負(fù)荷,使其無法響應(yīng)任何請求。這些攻擊造成的損害也取決于時間和地點。

3) 數(shù)據(jù)操縱攻擊數(shù)據(jù)操縱攻擊是將受損的數(shù)據(jù)提供給AV組件的攻擊。這可能導(dǎo)致組件、AV在實際需要操作時不采取任何操作,或在不需要操作時采取操作。例如攻擊者可以破壞AV的激光雷達(dá)單元,并有選擇地擦除數(shù)據(jù),從而使AV被欺騙,認(rèn)為其行進路徑中沒有障礙物,這可能會導(dǎo)致車輛無法剎車或轉(zhuǎn)向以避免撞上障礙物。對數(shù)據(jù)的操作可以采取選擇性地刪除、破壞或錯誤地增加數(shù)據(jù)的形式。同樣地,數(shù)據(jù)中毒(data poisoning)能夠以微妙的方式篡改訓(xùn)練數(shù)據(jù)甚至物理信號,可能會更隱蔽地帶來風(fēng)險。

4) 盜竊數(shù)據(jù)竊取有關(guān)用戶旅行模式的數(shù)據(jù)、使用座艙麥克風(fēng)竊聽用戶的對話以及類似的攻擊都可以歸為這類攻擊。然而,自動駕駛車輛本身并不是黑客唯一的攻擊對象,AV制造商、組件制造商、保險公司或交通管理部門的數(shù)據(jù)中心都可能會遭到破壞,有關(guān)AVs運行的所有信息都可能被盜。在大多數(shù)情況下,這類攻擊會導(dǎo)致隱私丟失。例如,當(dāng)Target和Equifax遭到黑客攻擊時,所有信用卡信息都被泄露,其結(jié)果就是客戶隱私的巨大損失。攻擊者可能會以AVs連接的服務(wù)器為目標(biāo)。
在許多情況下,汽車制造商將使用第三方云提供商來托管相關(guān)軟件和數(shù)據(jù)。這些第三方將成為利益相關(guān)者和潛在被告。

針對自動駕駛車輛的網(wǎng)絡(luò)攻擊

一些研究探索了對此類系統(tǒng)的潛在網(wǎng)絡(luò)攻擊,并提供了成功攻擊AVs組件的概念性證明,為深入了解AVs可能遭受的網(wǎng)絡(luò)攻擊提供了一個框架。

這個討論區(qū)分了被動攻擊和主動攻擊。被動攻擊是指車輛被騙做出錯誤決定的行為。主動攻擊是指車輛被明確指示或被迫做出錯誤決定的攻擊。  

1． 主動攻擊

Koscher等人(2010年)對當(dāng)代汽車的網(wǎng)絡(luò)安全進行了實驗分析。盡管他們的研究并不是針對AVs的安全性,但他們的實驗結(jié)果仍然與AVs高度相關(guān),因為分析的許多部件在大多數(shù)當(dāng)代車輛上都是通用的,包括自動駕駛車輛。通過實驗室實驗和道路測試,作者證明了黑客有能力滲透到車輛的任何ECU(電子控制單元)中,可以繞過關(guān)鍵安全系統(tǒng)來控制車輛的許多功能。所有進行的實驗都假定攻擊者已經(jīng)利用漏洞進入車輛部件。

Koscher等成功證明了針對幾個重要ECU的攻擊類型,包括對車身控制模塊(BCM)、發(fā)動機控制模塊、負(fù)責(zé)控制車輛防抱死制動系統(tǒng)(ABS)電子制動控制模塊(EBCM)的攻擊等。

一般來說,還可利用逆向工程技術(shù)對其他模塊進行了攻擊。研究人員指出,對這些模塊進行逆向工程以找出要發(fā)送的指令和要處理的數(shù)據(jù),從而實現(xiàn)成功的攻擊,是非常容易的,盡管這些攻擊需要比討論的其他攻擊更復(fù)雜的技術(shù)。

示例:對車身控制模塊的攻擊

車身控制模塊(BCM)屬于ECU,負(fù)責(zé)控制構(gòu)成車身的各種自動部件的功能。電動車窗、電動門鎖、擋風(fēng)玻璃雨刮器、后備箱、制動燈等部件的功能都由車身控制模塊控制。表A．1顯示了車身控制模塊上演示的不同類型的攻擊。

2． 被動攻擊

Petit和Shladover(2015)提供了一份關(guān)于AVs的合理網(wǎng)絡(luò)攻擊的清單。使用類似于工程設(shè)計中的失效模式分析方法,檢核了AV的重要組成部分(以及它們在生態(tài)系統(tǒng)中相互作用的其他組成部分),以評估一些看似有可能的網(wǎng)絡(luò)漏洞。下表描述了分析中發(fā)現(xiàn)的攻擊類型、可能的后果、后果的嚴(yán)重程度等。

這些攻擊本質(zhì)上大多是被動的(讓車輛做出錯誤的決定或誘使車輛做出錯誤的決定),而不是Koscher等人描述的主動攻擊(指揮或強迫車輛做出錯誤的決定)。交通基礎(chǔ)設(shè)施可能被利用,基礎(chǔ)設(shè)施提供給車輛的數(shù)據(jù)可能被操縱,以使AVs采取通常不會采取的行動。盡管這些攻擊對象不是車輛本身,但這是一類重要的攻擊,如果攻擊成功,可能會使法律責(zé)任分析復(fù)雜化。電子元件上的致盲和欺騙攻擊很常見,當(dāng)這些攻擊在AVs上進行時,可能會導(dǎo)致撞車,而不僅僅是違反交通法規(guī)。對全球定位系統(tǒng)的攻擊也是如此。另一類重要的攻擊是數(shù)據(jù)盜竊,這可能導(dǎo)致?lián)碛谢蚴褂肁V的個人失去隱私,這種攻擊可以通過竊取車載設(shè)備捕獲的數(shù)據(jù)來實現(xiàn)。

對自動駕駛車輛組件及其他交通基礎(chǔ)設(shè)施的攻擊  

各種黑客攻擊行為的影響

自動駕駛車輛黑客行為及后果列表補充了前面的討論,說明了對AV各種組件的攻擊會如何影響汽車性能或功能。包括對發(fā)動機、傳動系、制動系、轉(zhuǎn)向系、動力、安全、穩(wěn)定性、車身等車輛組件的控制,以及對導(dǎo)航、激光雷達(dá)、攝像頭、V2V/V2I通訊、OTA升級、OBD等的操作及數(shù)據(jù)竊取等。

我們已經(jīng)確定了黑客控制自動駕駛車輛的可能性,并初步討論了由此造成的物理和經(jīng)濟損失的可能性。這種危害會對AVs制造商、所有者和運營商的責(zé)任造成影響。

自動駕駛車輛黑客行為及后果列表

小結(jié)

本文對自動駕駛車輛的網(wǎng)絡(luò)安全問題的可能性、攻擊車輛的主要途徑和具體方式、攻擊后果的影響等進行了初步的概念性討論,希望能夠引起自動駕駛技術(shù)公司及車輛OEM廠商的重視,從而推動自動駕駛車輛技術(shù)及產(chǎn)品的開發(fā)和應(yīng)用。

參考文獻(xiàn):When Autonomous Vehicles Are Hacked, Who Is Liable, RAND Corporation．