科恩实验室发布报告，称特斯拉Model S轿车存在三大安全隐患

近日，腾讯旗下关注自动驾驶安全的科恩实验室发布报告，称特斯拉Model S轿车存在三大安全隐患，目前的实验和测试表明，特斯拉S型轿车的转向系统、自动雨刮器和车道识别系统均被攻破。特斯拉已发表回应称，转向系统的缺陷已由系统更新修正，其他两处则不属于安全问题，无须担心。

科恩实验室称，已经通过遥控成功干扰了车辆的转向系统。通过对抗性实例成功干扰了智能雨刮器。通过在道路上贴几个小小的胶带，就能成功误导车辆的道路识别系统，将车导航至逆行道上。

对此，特斯拉方面迅速做出回应，并未否认三处缺陷的存在。不过特斯拉同表示，此次曝光的这三处缺陷中，其中一处（转向系统被遥控）已由最新软硬件更新修正，而对于另外两处缺陷，则表示科恩实验室的实验场景不可能在现实驾驶场景中遇到，不属于安全问题，无须担心。

以下是科恩实验室报告核心内容的选编，以及特斯拉的逐条回应内容：

腾讯Keen安全实验室一直在进行Tesla车辆安全性研究工作，并在2017和2018年的美国Black Hat上分享了研究成果。 这次利用特斯拉自动驾驶系统（Tesla Autopilot ECU，软件版本18.6.1）的ROOT权限，进行了一些有趣的研究。

简单来讲，实验和测试证明了以下三点：

1、成功远程控制车辆转向系统

2、成功用对抗性实例干扰了自动雨刮器

3、成功误导车辆驶入了反向车道

研究的特斯拉车辆的软硬件信息如下：

车型：Tesla Model S 75

Autopilot硬件版本：2.5 软件版本：2018年6月30日

对车辆转向系统的遥控

APE是特斯拉高级驾驶辅助系统的核心组件，负责辅助驾驶和自动停车模式下的汽车转向系统控制和电子速度控制。这些先进的辅助驾驶功能基于高级视觉和汽车总线（以太网，CAN，LIN，FlexRay）系统。

团队采用的方法是动态地将恶意代码注入cantx服务并挂钩cantx服务的“DasSteering Control Message Emitter:: finalize_message（）”函数，以重用DSCM的时间戳和计数器来操纵具有任何转向角度值的DSCM信息。

为了将远程攻击链在车辆转向系统上进行可视化，使用游戏手柄演示远程转向控制。游戏手柄的转向控制过程如下图所示：手柄通过蓝牙连接到移动设备。同时，移动设备从游戏手柄接收控制信号，并将信号转换成相应的DSCM。

一旦APE受到安全威胁，cantx服务将定期通过3G / Wi-Fi从移动设备中提取DSCM信息。此外，APE需要不断将实时将车辆转向角度推送至移动设备，以计算出预期的精确转向角度。

•当汽车处于停车状态时，我们可以无限制地控制转向系统

•当通过换档手柄将汽车从R（倒车挡）模式切换到D（驾驶挡）模式时，APE似乎仍然认为汽车处于APC（自动停车控制）模式，这时我们可以在时速不超过约8公里的情况下，继续控制转向系统。

•当汽车处于高速自适应巡航控制模式时，我们也可以无限制地控制转向系统。

•即使汽车不在ACC（自适应巡航控制）模式下，方向盘也有机会被成功控制。

对自动雨刮器的成功干扰

传统的雨刮器系统使用光学传感器来检测雨滴。当足够的雨滴撞击挡风玻璃时，反射到传感器上的光量将减少到一定水平，使传感器打开雨刮器。

特斯拉的自动雨刮器系统则使用完全不同的解决方案，该方案基于神经网络模型。实验证实，这种解决方案在某些情况下似乎不如传统方案可靠。

目标是测试特斯拉自动雨刮器的稳健性。团队创建一些条件，使自动雨刮器在挡风玻璃上没有水的情况下自动开启。创建用于“攻击”系统的对抗性示例是一个非常直接的想法，因为整个系统完全基于深度神经网络。

团队选择了电子显示（例如电视，平板电脑）以显示物理世界中的补丁，这很容易执行端到端测试，在真实攻击场景中也更可行。

显示器可以放在道路的一侧，也可以放在前车的后座上（后者中国的出租车上很流行，后窗上经常会显示广告），或摄像头方便捕捉到的其他地方。然后使用优化算法来生成对抗性图片。我们直接用车辆来训练算法并生成实例。

最后一个问题是要找到一种合适的方法来生成电视上显示的图像。我们尝试了另一种叫做Worley噪音的噪音功能。在计算机图形学中，它能够以任意精度自动生成纹理，无需手工绘制。Worley噪声能够模拟石头，水或其他噪音的纹理

我们在电视上播放对抗生成的图像，其效果与向挡风玻璃洒水的效果相同。业内没有关于为何存在这种对抗性实例的统一解释，但众所周知，没有基于神经网络的传统自动雨刮器解决方案不会出现这样的问题。

虽然机器学习代表了技术的未来方向，但从消费者的角度来看，我们希望该技术可以具备更高的稳定性。这部分实验表明，我们可以通过一些算法直接攻击真实世界中的图像识别算法。

对自动寻路系统的攻击：道路欺骗

“消灭”真车道

消除车道攻击旨在通过物理世界中的一些不显眼的标记来禁用APE车道识别。我们使用各种优化算法来改变车道及其周围区域。我们期望找到一个与原始图像差别较小的对抗示例，但可以禁用车道识别功能。这些是我们生成的一些对抗性示例。

APE算法的稳健性较高，这有可能是特斯拉车道识别算法训练集中加入了大量异常车道的信息，匹配真实行车场景中车道的复杂性。这使得特斯拉车道识别系统在良好外部环境（无强光、雨雪、沙尘的干扰）下性能出众。

“添加”假车道

实验显示，只需在道路上贴上几个小小的贴纸（图中红色圆圈所示），就能成功误导自动驾驶系统，使车辆走上对面的车道，造成逆行

之后我们尝试在真实世界中构建这样一个场景：我们在路口处粘贴了一些小贴纸，作为地面上的干扰。我们希望使用这些干扰，将自动驾驶模式下的特斯拉车辆误导到反向车道上。

如上所示的测试场景显示，图中的红色短线是贴纸，车辆将其视为右侧车道的延续，并忽略交叉路口对面的的实际左侧车道。当它行驶到交叉路口的中间时，会将真正的左车道作为右车道行驶，造成逆行。

结论

我们对特斯拉汽车APE上的CAN总线系统，然后使用游戏手柄通过无线网络驱动汽车，这表明攻击者在进入APE模块后可能造成的潜在安全威胁。

我们通过静态逆向工程和动态调试分析了APE的视觉系统。根据研究结果，我们在真实世界中进行了一些实验测试，并成功使特斯拉APE在我们的攻击下表现异常。这表明，通过一些真实环境下的干扰，我们可以在某种程度上实现远程控制车辆。

我们希望制造商能够关注这些测试所暴露的潜在产品缺陷，并提高其面向消费者的汽车产品的稳定性和可靠性。

特斯拉回应：未否认问题存在，但不属于安全问题，无须担心

关于 “雨刷的视觉识别缺陷”（成果一）的回应：

“实验通过在直接放置在汽车挡风玻璃前面的电视上显示图像。司机实际驾驶不会出现这种情况，此缺陷也不属于安全问题。此外，我们在“用户手册”中已经表明，“我们的挡风玻璃雨刮器的自动设置目前处于测试阶段。”客户可以随时选择使用手动挡风玻璃雨刮器的设置。

关于 “车道的视觉识别缺陷”（成果二）的回应：

“在这次演示中，研究人员调整了车辆周围的物理环境（例如在道路上放置贴纸），让自动驾驶模式下的汽车动作出现差异。由于驾驶员可以随时使用方向盘或刹车轻松接管自动驾驶系统，所以这个问题在现实场景中也无需担心。“

关于 “遥控器操控车辆行驶”（成果三）的回应：

“报告中提到的这一漏洞已由特斯拉在2017年强大的安全更新修复，随后在2018年又一次进行了全面安全更新，在此报告发布前，技术团队已经发布了安全更新。我们尚未收到一位客户受到本报告中任何研究的影响。”