Summary

LiDAR (Light Detection And Ranging) is an indispensable sensor for precise long- and wide-range 3D sensing, which directly benefited the recent rapid deployment of autonomous driving (AD). Meanwhile, such a safety-critical application strongly motivates its security research. A recent line of research demonstrates that one can manipulate the LiDAR point cloud and fool object detection by firing malicious lasers against LiDAR. However, these efforts face 3 critical research gaps: (1) evaluating only on a specific LiDAR (VLP-16); (2) assuming unvalidated attack capabilities; and (3) evaluating with models trained on limited datasets. 

To fill these critical research gaps, we conduct the first large-scale measurement study on LiDAR spoofing attack capabilities on object detectors with 9 popular LiDARs in total and 3 major types of object detectors. To perform this measurement, we significantly improved the LiDAR spoofing capability with more careful optics and functional electronics, which allows us to be the first to clearly demonstrate and quantify key attack capabilities assumed in prior works. However, we further find that such key assumptions actually can no longer hold for all the other (8 out of 9) LiDARs that are more recent than VLP-16 due to various recent LiDAR features. To this end, we further identify a new type of LiDAR spoofing attack that can improve on this and be applicable to a much more general and recent set of LiDARs. We find that its attack capability is enough to (1) cause end-to-end safety hazards in simulated AD scenarios, and (2) remove real vehicles in the physical world. We also discuss the defense side.

LiDAR（Light Detection And Ranging）は、正確な長距離および広範囲の3D感知に不可欠なセンサーであり、最近の自動運転（AD）の急速な展開に直接的な恩恵をもたらしました。一方で、このような安全性が重要なアプリケーションは、その セキュリティ研究を強く動機付けています。最近の研究では、悪意のあるレーザーをLiDARに対して発射することで、LiDARのポイントクラウドを操作し、物体検出を欺くことができることが実証されています。しかし、これらの取り組みには3つの重要な研究上のギャップがあります：(1)特定のLiDAR（VLP-16）のみを評価していること、(2)検証されていない攻撃能力を想定していること、(3)限られたデータセットで訓練されたモデルで評価していること。

これらの重要な研究上のギャップを埋めるために、我々は合計9つの人気のあるLiDARと3つの主要な種類の物体検出器を用いて、LiDARスプーフィング攻撃能力に関する初めての大規模な測定研究を行いました。この測定を行うために、我々はより慎重な光学系と機能的な電子機器によってLiDARスプーフィング能力を大幅に向上させました。これにより、我々は先行研究で想定されていた主要な攻撃能力を初めて明確に実証し、定量化することができました。しかし、さらに我々は、このような主要な仮定が実際には、VLP-16より新しい他のすべての（9つ中8つの）LiDARでは、様々な最近のLiDAR機能により、もはや成り立たなくなっていることを発見しました。そこで、我々はさらに、これを改善し、より一般的で最新のLiDARセットに適用可能な新しいタイプのLiDARスプーフィング攻撃を特定しました。我々は、その攻撃能力が(1)シミュレートされたADシナリオでエンドツーエンドの安全性の危険をもたらし、(2)物理的な世界で実際の車両を除去するのに十分であることを発見しました。我々は防御側についても議論しています。