LiDAR (Light Detection And Ranging) is an indispensable sensor for precise long- and wide-range 3D sensing, which directly benefited the recent rapid deployment of autonomous driving (AD). Meanwhile, such a safety-critical application strongly motivates its security research. A recent line of research demonstrates that one can manipulate the LiDAR point cloud and fool object detection by firing malicious lasers against LiDAR. However, these efforts face 3 critical research gaps: (1) evaluating only on a specific LiDAR (VLP-16); (2) assuming unvalidated attack capabilities; and (3) evaluating with models trained on limited datasets.
To fill these critical research gaps, we conduct the first large-scale measurement study on LiDAR spoofing attack capabilities on object detectors with 9 popular LiDARs in total and 3 major types of object detectors. To perform this measurement, we significantly improved the LiDAR spoofing capability with more careful optics and functional electronics, which allows us to be the first to clearly demonstrate and quantify key attack capabilities assumed in prior works. However, we further find that such key assumptions actually can no longer hold for all the other (8 out of 9) LiDARs that are more recent than VLP-16 due to various recent LiDAR features. To this end, we further identify a new type of LiDAR spoofing attack that can improve on this and be applicable to a much more general and recent set of LiDARs. We find that its attack capability is enough to (1) cause end-to-end safety hazards in simulated AD scenarios, and (2) remove real vehicles in the physical world. We also discuss the defense side.
LiDAR(Light Detection And Ranging)は、正確な長距離および広範囲の3D感知に不可欠なセンサーであり、最近の自動運転(AD)の急速な展開に直接的な恩恵をもたらしました。一方で、このような安全性が重要なアプリケーションは、その セキュリティ研究を強く動機付けています。最近の研究では、悪意のあるレーザーをLiDARに対して発射することで、LiDARのポイントクラウドを操作し、物体検出を欺くことができることが実証されています。しかし、これらの取り組みには3つの重要な研究上のギャップがあります:(1)特定のLiDAR(VLP-16)のみを評価していること、(2)検証されていない攻撃能力を想定していること、(3)限られたデータセットで訓練されたモデルで評価していること。
これらの重要な研究上のギャップを埋めるために、我々は合計9つの人気のあるLiDARと3つの主要な種類の物体検出器を用いて、LiDARスプーフィング攻撃能力に関する初めての大規模な測定研究を行いました。この測定を行うために、我々はより慎重な光学系と機能的な電子機器によってLiDARスプーフィング能力を大幅に向上させました。これにより、我々は先行研究で想定されていた主要な攻撃能力を初めて明確に実証し、定量化することができました。しかし、さらに我々は、このような主要な仮定が実際には、VLP-16より新しい他のすべての(9つ中8つの)LiDARでは、様々な最近のLiDAR機能により、もはや成り立たなくなっていることを発見しました。そこで、我々はさらに、これを改善し、より一般的で最新のLiDARセットに適用可能な新しいタイプのLiDARスプーフィング攻撃を特定しました。我々は、その攻撃能力が(1)シミュレートされたADシナリオでエンドツーエンドの安全性の危険をもたらし、(2)物理的な世界で実際の車両を除去するのに十分であることを発見しました。我々は防御側についても議論しています。
So far, all prior works on object injection attack side [Shin et al., 2017 [9], Cao et al., 2019 [10] , Jiachen et al., 2020[11], Hallyburton et al., 2022 [13]] assume a Chosen Pattern Injection (CPI) attack capability, i.e., an attacker can successfully inject a specifically-chosen spoofed point cloud pattern that was carefully crafted/identified offline before the actual attack time (e.g., from an offline optimization process). However, none of these prior works have clearly demonstrated such an attack capability in the physical world.
これまでの物体挿入攻撃に関するすべての先行研究 [Shin et al., 2017 [9], Cao et al., 2019 [10], Jiachen et al., 2020 [11], Hallyburton et al., 2022 [13]] は、選択パターン挿入(CPI)攻撃能力を想定しています。つまり、攻撃者が実際の攻撃時間前にオフラインで慎重に作成/特定された、任意の偽の点群形状を挿入できるという能力です。しかし、これらの先行研究のいずれも、物理的な世界でこのような攻撃能力を明確に実証していませんでした。 以下に我々の系で歩行者、車、そして文字データを注入攻撃した例を示します。
To achieve the CPI attack capability, we significantly improved the LiDAR spoofing capability with more careful optics and more functional electronics.
Ø1" N-BK7 Plano-Convex Lens, SM1-Threaded Mount, f = 25.4 mm, Uncoated
Laser board
Pulse laser
The frame consists of a bottom acrylic plate, a top acrylic plate, and an aluminum hollow screw. The laser board is fixed to the bottom acrylic plate. A female screw is dug in the top acrylic plate so that the hollow screw can be moved up and down. The acrylic plates are joined to each other by hexagonal posts connected in series. Thorlab's lenses in the mount are internally threaded so they can be attached to the end of a hollow screw.
CAD File: lens_unit.f3z
bottom plate
top plate
hollow screw
Velodyne VLP-16 has been dominantly used in the prior works since it is viewed as a de facto choice for LiDAR spoofing evaluation after the first practical spoofing attack was proposed in 2017. Although these results are valid on VLP-16, there is no guarantee that these results are still valid in more recent LiDARs, known as next-generation LiDARs. However, none of the prior works on LiDAR spoofing attacks has evaluated the security property of such next-generation LiDAR. These major design differences are likely to cause significant differences in their security characteristics, which thus motivates this study.
Velodyne VLP-16は、2017年に最初の実用的なスプーフィング攻撃が提案されて以来、LiDARスプーフィング評価の事実上の選択肢とみなされているため、これまでの研究で主に使用されてきました。これらの結果はVLP-16では有効ですが、より最近のLiDAR、いわゆる次世代LiDARでもこれらの結果が依然として有効である保証はありません。しかし、LiDARスプーフィング攻撃に関するこれまでの研究では、このような次世代LiDARのセキュリティ特性を評価したものはありません。これらの主要な設計の違いは、セキュリティ特性に大きな違いをもたらす可能性が高く、本研究の動機となっています。
We identified a new type of LiDAR spoofing attack, named high-frequency removal (HFR) attack, which can achieve point removal without synchronizing with the LiDAR scanning patterns and can be effective against LiDAR even with the timing randomization. We compare our attack with the state-of-the-art removal attack. Physical Removal Attack (PRA) [Cao et al., 2022].
我々は、高周波除去(HFR)攻撃と名付けた新しいタイプのLiDARスプーフィング攻撃を特定しました。この攻撃は、LiDARのスキャンパターンと同期することなくポイントの除去を達成でき、タイミングのランダム化を施したLiDARに対しても効果的です。我々の攻撃を最先端の除去攻撃である物理的除去攻撃(PRA)[Cao et al., 2022] と比較しました。
Target LiDAR: VLP-32c
Camera
Benign
PRA Attack w/ our spoofer
HFR Attack
We evaluate the end-to-end consequence in AD scenarios with closed-loop simulation. We apply the attack success rate at each azimuth for each point at every frame to decide whether the point is to be remained or be removed.
AD system: Baidu Apollo 7.0
Simulator: LGSVL
Attack Start Distance: 18 m
Driving Speed: 40 km/h
Attack success rate at each azimuth
Benign
VLP-16 (PRA)
VLP-16 (HFR)
VLP-32 (HFR)
XT32 (HFR)
Helios 5515 (HFR)
Target LiDAR: VLP-16
Distance between Spoofer and LiDAR: 5 m
Benign: Until 8 seconds
Attack: After 8 seconds