Aufkleber auf Straßenschilder verwirren selbstfahrende Autos

Während sich viele Autohersteller um den Schutz und die Verteidigung der Systeme im Auto kümmern, kann es auch noch andere Möglichkeiten geben selbstfahrende Autos zu täuschen.

Sicherheitsforscher an der University of Washington haben gezeigt, wie man die Computer Vision Systeme der Autos mit einem einfachen Trick überlisten kann. Auf unterschiedliche Straßenschilder, z.B. einem Stoppschild, wurden selbstausgedruckte kleine Aufkleber angebracht. Diese Bilder verwirrten die Kameras der autonomen Autos und verleiteten sie dazu falsche Befehle an das KFZ weiterzugeben. Bei diesem manipulierten Stoppschild reagierten die selbstfahrenden Autos lediglich mit einer Geschwindigkeitsreduzierung statt mit einem Fahrzeugstopp.

Manipuliertes Stoppschild

Die Vision Systeme in autonomen Autos haben typischerweise einen Objektdetektor und ein Klassifizierungsmodul, über die Fußgänger, Lichter, Schilder und andere Fahrzeuge erkannt und entsprechend eingeordnet werden. Auf Grund dieser Einordnung werden dann entsprechende Befehle an das Auto weitergegeben, die ein entsprechendes Verhalten auslösen.

Die Forscher gehen davon aus, dass Hacker in der Lage sein dürften einen Zugang zu dem Klassifizierungsmodul zu erreichen und unter Nutzung des neuen Algorithmus und dem Zielschild ein individuelles Bild erzeugen könnten, dass zu einem Fehlverhalten des Autos führen würde.

Dies zeigt die Anfälligkeit solcher neuronalen Netzwerken, die das „Gehirn“ für die Erkennung und Auswertung von Zeichen, Bremslichtern oder anderen Verkehrsteilnehmern sind. Bereits kleine und präzise gefertigte Änderungen an deren Inputs können zu fatalen und gefährlichen Reaktionen führen. Die generelle Manipulation von selbstfahrenden Autos über Straßenschilder war den Forscher bereits vorher bewusst. Allerdings waren diese nötigen Manipulationen bisher so unnatürlich und auffällig für das menschliche Auge, dass man ein mögliches Risiko vernachlässigen konnte.

Mit diesem neuen Algorithmus allerdings, der in Zusammenarbeit mit Kollegen von der Stony Brook University und University of California entstand, kann man auf normale Farbdrucker, Full-Size Bilder erzeugen, die über das vorhandene Straßenschild geklebt und für das menschliche Auge lediglich als fleckig oder verblasst wahrgenommen werden. Auf diese Weise wurde dem Computer Vision System ein Stopp-Schild als eine Geschwindigkeitsbegrenzung vorgemacht. In einem 2. Versuch konnte mit der Beklebung des Schildes mit kleinen rechteckigen Schwarz-Weiß Aufklebern, das gleiche Ergebnis erzielt werden. Diese Angriffe waren aus einer Vielzahl von Entfernungen und Blickwinkel erfolgreich.

Die Forscher werden ihre Experimente weiter ausbauen und die Hypothese von potentiellen Angriffsmöglichkeiten auch auf andere Objekte im Straßenverkehr erforschen.

Die Gefahren solcher Angriffe sind klar und definitiv ein Grund zur Sorge in der Selbstfahrer-Community. Viele experimentelle Selbstfahrer und einige Serienfahrzeuge, darunter Tesla’s Palette von Elektroautos, können bereits automatisch Straßenschilder erkennen. Wenn ein zukünftiges selbstfahrendes Fahrzeug ein falsches Ansprechverhalten auf ein Straßenschild ausübt, könnte dies lebensbedrohliche Konsequenzen haben.

Fazit

Autohersteller sollten also über eine Kombination von verschiedenen Sicherheitsansätzen nachdenken, die auch logische, standortspezifische und kontextbezogene Informationen (z.B. Stoppschild auf der Autobahn nicht sinnvoll) mit einschließen. Zudem müssen die vielen Sensoren an solchen Fahrzeugen, über eine verbundene fail-safe Intelligenz ausgestattet werden.