GhostStripe: los hackers hicieron que el piloto automático de Tesla infringiera las normas de tráfico

Un grupo de científicos de Singapur desarrolló un método para interferir en el funcionamiento de los vehículos autónomos que utilizan la visión por computadora para reconocer señales de tráfico. La nueva técnica, GhostStripe, puede ser peligrosa para los conductores de Tesla y Baidu Apollo.

La idea principal de GhostStripe consiste en usar LEDs para crear patrones de luz en las señales de tráfico. Estos patrones son invisibles para el ojo humano, pero confunden a las cámaras de los vehículos. La esencia del ataque es que los LEDs parpadean rápidamente en diferentes colores cuando la cámara se activa, causando distorsiones en la imagen.

Las distorsiones surgen debido a las características del obturador digital CMOS de las cámaras. Estas cámaras escanean la imagen en etapas, y los LEDs parpadeantes crean diferentes tonos en cada etapa del escaneo. Como resultado, se produce una imagen que no corresponde a la realidad. Por ejemplo, el color rojo de una señal de "Stop" puede aparecer diferente en cada línea del escaneo.

Cuando esta imagen distorsionada llega al clasificador del vehículo, basado en redes neuronales profundas, el sistema no puede reconocer la señal y no reacciona adecuadamente. Métodos de ataque similares ya eran conocidos, pero el equipo de investigadores logró obtener resultados estables y reproducibles, lo que hace que el ataque sea práctico en condiciones reales.

Los investigadores desarrollaron dos versiones del ataque:

• GhostStripe1 no requiere acceso al vehículo y utiliza un sistema de seguimiento para monitorear la ubicación del vehículo en tiempo real. Esto permite ajustar dinámicamente el parpadeo de los LEDs para que la señal no sea reconocida.
• GhostStripe2 requiere acceso físico al vehículo. En este caso, se instala un convertidor en el cable de alimentación de la cámara que registra los momentos de escaneo de la imagen y controla con precisión el tiempo del ataque. Esto permite atacar un vehículo específico y manejar los resultados del reconocimiento de señales.

El equipo probó el sistema en carreteras reales utilizando la cámara Leopard Imaging AR023ZWDR, que se emplea en el equipo de Baidu Apollo. Los tests se realizaron en señales de "Stop", "Ceda el paso" y límites de velocidad. GhostStripe1 mostró un 94% de éxito, y GhostStripe2, un 97%.

Uno de los factores que afectan la eficacia del ataque es la fuerte iluminación ambiental, que reduce la efectividad. Los investigadores señalaron que para un ataque exitoso, los delincuentes deben elegir cuidadosamente el tiempo y el lugar.

Existen contramedidas que pueden reducir la vulnerabilidad. Por ejemplo, se podrían reemplazar las cámaras CMOS con obturador digital por sensores que toman la fotografía completa de una vez, o randomizar el escaneo de capas. Cámaras adicionales también pueden disminuir la probabilidad de un ataque exitoso o requerir métodos más complejos. Otra medida podría ser entrenar a las redes neuronales para reconocer ataques similares.