Autonomes Fahren: Laserscanner mit gefälschten Signalen getäuscht

Teure Laserscanner autonomer Autos lassen sich offenbar mit einfachen Mitteln austricksen. Wie das Wissenschaftsmagazin IEEE Spectrum berichtete, ist es dem Sicherheitsexperten Jonathan Petit von Security Innovation gelungen, einem solchen Scanner (Lidar) Laserimpulse zuzusenden, die ihm die Existenz nicht vorhandener Objekte wie Fahrzeuge oder Fußgänger vorgaukelten. Dies könnte unter Umständen dazu führen, dass die Auswertungssoftware versucht, den nicht vorhandenen Objekten auszuweichen oder vor einer möglichen Kollision zu bremsen.

Petit benötigte nach eigenen Angaben für den Hack lediglich einen Laserpointer und einen Minicomputer wie das Raspberry Pi oder den Arduino. Selbst ein Pulsgenerator sei nicht erforderlich gewesen. Das einzige Problem habe darin bestanden, die Laserimpulse mit dem gehackten Lidar vom Typ IBEO Lux zu synchronisieren. "Ich kann Reflexionen eines imitierten Autos aufnehmen und sie an einen beliebigen Ort versetzen", sagte Petit. Es sei möglich gewesen, dem Lidar Objekte wie ein Fahrzeug, eine Mauer oder einen Fußgänger in einer Entfernung von 20 bis 350 Metern vorzutäuschen und sie sogar zu bewegen.

"Ich kann im Grunde eine DDoS-Attacke auf die Sensorsysteme ausführen, so dass reale Objekte nicht mehr erkannt werden", sagte Petit. Es sei nicht einmal erforderlich gewesen, mit dem Laserpointer exakt den Lidar zu treffen. Die Attacke habe vor, seitlich und hinter dem Lidar in einer Entfernung von bis zu 100 Metern funktioniert.

Sensordaten werden bereits plausibilisiert

Ob solch ein Angriff tatsächlich ein autonomes Auto vom Kurs abbringen kann, ist allerdings unklar. In der Regel werden die Daten der verschiedenen Sensortypen wie Radar, Videokamera, Ultraschall und Laser gegeneinander plausibilisiert. Wenn nur ein Sensor ein bestimmtes Objekt wahrnimmt, die anderen hingegen nicht, könnte diese Information als Fehlinterpretation ignoriert werden. Nach Angaben von Daimler kann eine gefüllte Blechdose beispielsweise Radarstrahlen so reflektieren, dass sie wie ein Fahrzeug wahrgenommen wird. Auch solche Daten müssen dann vom System verworfen werden.

Gefährlicher könnte dagegen ein kombinierter elektronischer Angriff auf die verschiedenen Sensorsysteme sein. Dem Bericht zufolge operieren die Nahbereichsradare der autonomen Autos aber in einem Frequenzbereich, der nicht ohne Lizenz genutzt werden kann. Petit räumte zudem ein, dass mit Hilfe eines Laserpointers auch jeder menschliche Autofahrer geblendet und irritiert werden könnte. Das Problem ist in diesem Fall also nicht auf autonome Autos beschränkt.

Möglich wurde der Hack laut Petit auch dadurch, dass die Impulse des Lidars nicht codiert oder verschlüsselt gewesen seien. Seine Forschung will er als Weckruf verstanden wissen. "Ein starkes System, das Fehlverhalten entdecken kann, könnte die Daten gegeneinander überprüfen und unplausible herausfiltern. Aber ich denke nicht, dass die Autohersteller dies bereits gemacht haben", sagte Petit. Inwieweit diese Einschätzung zutrifft, ist unklar. Möglicherweise haben die Hersteller mit den genuinen Problemen der Sensortechnik bereits genug zu kämpfen und solche externen Attacken noch nicht in ihre Entwicklungen einbezogen.