车联网时代的麻烦:网络攻击让车谎报信息造成拥堵
2018-06-20
研究人员称,一种针对交通算法的新型攻击会使得网联车谎报车辆的位置和速度信息,因而对智能城市和交通状况构成威胁,比如造成严重交通堵塞。汽车之间能够互相通信(还有汽车能够与红绿灯、停车标志、护栏甚至是人行道上的标记通信)的时代————正在快速临近。在减少交通拥堵和避免撞车的宗旨的驱动下,这些系统已经在美国各地的道路上推出。
例如,在美国交通部的支持下开发的智能交通信号系统(Intelligent Traffic Signal System),已经在亚利桑那州和加利福尼亚州的公共道路上进行了测试,并在纽约市和佛罗里达州的坦帕市进行了更广泛的部署。该系统可以让车辆与红绿灯共享实时位置和速度,这些信息能够用于根据实时交通需求有效地优化交通时间,从而大幅减少车辆在十字路口的等待时间。
来自密歇根大学的RobustNet研究团队和密歇根交通实验室的研究的重点是,确保这些下一代交通系统的安全性,使得它们免受攻击。到目前为止,他们发现它们实际上是相对容易被欺骗的。只要有一辆汽车在传输假数据,就会造成严重的交通堵塞,几起攻击并发则可能会导致整个区域交通瘫痪。尤其值得忧心的是,那些研究者发现,问题并不在于底层的通信技术,而在于用于管理流量的算法。
误导算法
一般来说,算法是要接收各种各样的输入信息——比如在十字路口附近的不同位置有多少辆车——并计算出满足特定目标的输出信息——比如最小化在交通灯处的集体延迟。与大多数算法一样,智能交通信号系统中的交通控制算法——昵称“I-SIG”——假设它得到的输入信息是真实的。这并不是一个可靠的假设。
现代汽车的硬件和软件可以通过汽车的诊断端口或无线连接进行修改,进而引导汽车传输错误的信息。想要破坏I-SIG系统的人可以用这种方法来侵入自己的汽车,把车开到目标十字路口,然后在附近停下。
研究者发现,车辆一旦停在十字路口附近,攻击者就可以利用控制红绿灯的算法的两个漏洞来延长特定车道得到绿灯的时间——同样地,也会延长其他车道得到红灯的时间。
研究者发现的第一个漏洞被称为“最后的车辆优势”,可被利用来延长绿灯信号长度。该算法会监视正在接近十字路口的车辆,估计车辆队伍的长度,并确定所有车辆通过十字路口所需的时长。这种逻辑帮助系统在每一轮的红绿灯变化中服务尽可能多的车辆,但它可能会被滥用。攻击者可以指示车辆向系统发出它要很迟才加入车辆队伍的错误报告。然后,算法会让受攻击的绿灯保持足够长的时间,以便让这辆不存在的汽车通过——相应地,其他车道上的红灯比路上实际行驶的汽车需要的时间要长得多。
研究者将第二个漏洞称之为“过渡时期的诅咒”或“幽灵车攻击”。“I-SIG算法的构建是为了应对不是所有的车辆都能相互通信的事实。”它使用较新的网联车的驱动模式和信息来推断不支持通信的旧车的实时位置和速度。因此,如果一辆联网的汽车报告说它在距离十字路口很远的地方停下来,算法就会假设该车辆前面的车辆队伍很长。然后系统会为那条车道分配长时间的绿灯,因为它认为车辆队伍很长,但实际上并不长。
这些攻击是通过让一辆车谎报自己的位置和速度而发生的。这与已知的网络攻击方法非常不同,比如向未加密的通信中注入消息,或者让未经授权的用户登录特权账号。因此,已知的针对这些攻击的保护措施对谎报信息的车辆毫无用处。
算法被误导的后果
这两种攻击方式任意一种的使用,或者相互配合使用,让攻击者能够给没有或者很少车辆的车道分配时间过长的绿灯,给最繁忙的车道分配时间过长的红灯。这最终会导致大规模的交通堵塞。
这种针对红绿灯的攻击可能只是为了好玩,也可能是为了攻击者自身的利益。例如,想象一下,有人为了获得更快的通勤速度而调整自己所在车道的交通灯时间,其他的司机则受到延误。犯罪分子也可能会试图通过攻击红绿灯,来快速逃离犯罪现场或者摆脱追捕的警车。
该类攻击甚至还有政治或经济上的危险:密谋的组织可能会破坏城市的几个关键十字路口的红绿灯系统,以此来要求支付赎金。这比其他堵塞十字路口的方法(如在车流中停车)有破坏性得多,也更容易逃脱。
由于这种类型的攻击利用了智能交通控制算法本身,修复它需要来自交通领域和网络安全领域的共同努力。这包括要考虑到这类研究的一大教训:支撑交互系统的传感器——比如I-SIG系统中的车辆——并不是完全值得信赖。在进行计算之前,算法应该尝试验证它们使用的数据。例如,交通控制系统可以使用其他的传感器——比如已经在全国范围内使用的道路传感器——来复核道路上到底有多少辆车。
这只是研究者对未来智能交通系统中新型安全问题的研究的一个开始,他们希望这一研究日后既能发现漏洞,又能找到保护道路和司机的方法。