Los operadores de algunos vehículos más antiguos de Tesla podrían sorprenderse al saber que una sola pieza de cinta aislante negra de dos pulgadas es todo lo que se necesita para engañar al sensor de la cámara en sus autos para que malinterprete una señal de velocidad de 35 mph como una señal de 85 mph.
Los investigadores de McAfee que descubrieron el problema dijeron que pudieron obtener un Tesla, equipado con la versión EyeQ3 de la plataforma de la cámara Mobileye, para acelerar de forma autónoma 50 millas por encima del límite de velocidad.
El truco, que implicaba extender el centro del «3» en la señal de tráfico con cinta negra, parece funcionar solo en Teslas equipado con la versión Mobileye EyeQ3 (paquete de components Tesla 1), según McAfee. Los intentos de los investigadores para recrear el ataque a los modelos Tesla con la última versión de la cámara Mobileye no funcionaron. Los nuevos Teslas ya no implementan la tecnología Mobileye, y no parecen admitir el reconocimiento de señales de tráfico, dijo McAfee.
«No estamos tratando de difundir el miedo aquí y decir que es probable que los atacantes conduzcan autos fuera de la carretera», dice Steve Povolny, jefe de McAfee Sophisticated Risk Investigate. Un modelo Tesla con la versión specific de Mobileye malinterpretará de manera confiable la señal de límite de velocidad e intentará acelerar hasta el límite de velocidad mal clasificado si el conductor ha activado el command de crucero consciente del tráfico, dice Povolny. Pero la probabilidad de que eso suceda en una situación de la vida serious sin que el conductor se dé cuenta del problema y tome el control del vehículo es remota, dice.
El verdadero objetivo de la investigación es crear conciencia sobre algunos de los vectores de amenazas no tradicionales que están surgiendo con la creciente integración de las capacidades de inteligencia synthetic (IA) y aprendizaje automático (ML) en las tecnologías modernas. Por el momento, los hacks como estos todavía están en el ámbito académico.
«Si proyectamos entre 10 y 20 años en el futuro, en algún momento estos problemas se volverán muy reales», dice Povolny. «Si tenemos vehículos y sistemas informáticos completamente autónomos que realizan diagnósticos médicos sin supervisión humana, tenemos un verdadero problema».
Investigación más amplia
La investigación de McAfee que involucra a Mobileye es parte de un estudio más amplio que la compañía está llevando a cabo en el llamado «pirateo de modelos» o aprendizaje automático adversario. El objetivo es ver si las debilidades que están presentes en los algoritmos de ML de la generación real pueden explotarse para desencadenar resultados adversos. El Instituto Berryville de Aprendizaje Automático (BIML) ha clasificado los ataques adversos como uno de los mayores riesgos para los sistemas de ML. en un papel reciente, el grupo de expertos describió los ataques adversos como diseñados para engañar a un sistema ML al proporcionarle información maliciosa que involucra cambios muy pequeños en los datos originales.
En el pasado, los investigadores han demostrado cómo un sistema de clasificación de imágenes impulsado por IA puede ser engañado para malinterpretar una señal de alto como una señal de límite de velocidad de tráfico usando algunas piezas de cinta colocada estratégicamente en la señal. Antes del pirateo con cámaras Mobileye, los investigadores de McAfee descubrieron que podían usar algunas cintas para obtener un sistema interno de clasificación de imágenes para malinterpretar una señal de alto como una señal de carril adicional. También descubrieron que podían engañar al clasificador de imágenes para que malinterpretara los signos de límite de velocidad.
Los investigadores querían averiguar si podían usar las mismas técnicas para engañar a un sistema propietario. Se centraron en Mobileye porque las cámaras de la compañía están actualmente desplegadas en unos 40 millones de vehículos. En algunos vehículos, las cámaras se utilizan para determinar el límite de velocidad y alimentar esos datos en sus sistemas autónomos de conducción o asistencia al conductor.
Inicialmente, los investigadores utilizaron cuatro pegatinas en el letrero de límite de velocidad para confundir a la cámara y descubrieron que podían engañar constantemente al sistema para que pensara que period un límite de velocidad diferente de lo que realmente period. Siguieron reduciendo la cantidad de pegatinas en el letrero hasta que descubrieron que todo lo que realmente necesitaban era una cinta adhesiva.
«Lo que hemos hecho es desencadenar algunas debilidades que a menudo son inherentes a todos los tipos de sistemas de aprendizaje automático y los algoritmos subyacentes», dice Povolny.
Los algoritmos utilizados por las cámaras Mobileye, por ejemplo, están entrenados muy específicamente en un conjunto de datos que esperan ver, dice, por ejemplo, cosas como señales de tráfico conocidas u objetos en el entorno. Pero esa capacitación a menudo puede dejar vacíos en la capacidad del sistema para identificar entradas desconocidas o incluso un poco no estándar. «Básicamente aprovechamos esas brechas o puntos ciegos en los algoritmos mismos para hacer que se clasifiquen erróneamente», dice Povolny.
Según McAfee, informó a Tesla y Mobileye de su investigación en septiembre y octubre de 2019, respectivamente. «Ambos proveedores manifestaron interés y agradecieron la investigación, pero no han expresado ningún plan precise para abordar el problema en la plataforma existente», dijo McAfee. «Mobileye indicó que las versiones más recientes del sistema de cámara abordan estos casos de uso».
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más concepts
