Устройство за $60 обманывает лидар беспилотного автомобиля

Александр Панасенко 08 Сентября 2015 - 09:11

...

Одна из самых дорогих деталей современного беспилотного автомобиля — сканирующий лидар (LiDAR, LIght Identification Detection and Ranging), который получает информацию об удаленных объектах с помощью активных оптических систем. Учитывая отражение и рассеяние световых лучей, лидар составляет трехмерную картину окружающего пространства.

К сожалению, приборы стоимостью в тысячи долларов легко поддаются взлому. Инженеры из компании Security Innovation и Ирландского национального университета в Корке показали, что можно «скормить» лидару фальшивые показания с помощью простого устройства из комплектующих за 60 долларов.

Если злоумышленник сымитирует появление «машины-призрака» в произвольной окружающей точке пространства, это заставит беспилотный автомобиль совершить резкий маневр и приведет к возникновению аварийной ситуации. Или, к примеру, можно заставить автомобиль совершить вынужденную остановку, соорудив вымышленное препятствие на его пути. Возможно, такие разработки понравятся правоохранительным органам, пишет xakep.ru.

Гаджет для обмана лидара состоит из лазерного излучателя низкой мощности и генератора импульсов. Пульт управления легко собрать из Raspberry Pi или Arduino, говорят авторы. Они провели эксперимент на коммерческом лидаре IBEO Lux. Как выяснилось, сигнал лидара не зашифрован и никоим образом не кодируется. Единственным затруднением было обеспечить синхронизацию отраженного сигнала с импульсами излучателя. Исследователям удалось успешно сымитировать фальшивый автомобиль, фальшивых пешеходов на расстоянии 20-350 метров, многочисленные копии различных препятствий, в том числе подвижных препятствий. «Я могу подделать тысячи объектов и реально провести DoS-атаку на систему слежения, так что она не сможет отслеживать настоящие объекты», — сказал Джонатан Пти (Jonathan Petit), один из авторов научной работы.

Научная работа с описанием способов взлома лидаров будет опубликована к конференции Black Hat Europe, которая состоится в ноябре 2015 года.

В последние годы независимые исследователи нашли способы обмануть показания GPS-навигаторов и беспроводных датчиков в шинах беспилотных автомобилей. Если автомобиль не способен получать достоверные показания сенсоров, то высокотехнологическая машина превращается в кучу бесполезной электроники или, что хуже, в боевой снаряд с дистанционным управлением.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Исследователь нашёл опасную дыру в автообновлении драйверов AMD

На дворе 2026 год: человечество обсуждает будущее с ИИ, роботы становятся всё более человекоподобными а функция автообновления драйверов AMD для Windows по-прежнему скачивает апдейты по небезопасному соединению. На это обратил внимание начинающий ИБ-специалист из Новой Зеландии, опубликовавший свой разбор в блоге.

Правда, вскоре пост был «временно удалён по запросу», что только подогрело интерес к истории.

По словам Пола, когда AMD Auto-Updater находит подходящее обновление, он загружает его по обычному HTTP. А значит, любой злоумышленник, находящийся в той же сети (или где-то по пути трафика), может подменить сайт AMD или изменить файл «на лету», встроив в драйвер шпионский софт или шифровальщик, который будет работать с правами администратора.

Исследователь утверждает, что сразу сообщил о проблеме AMD, но получил довольно формальный ответ: атаки типа «Человек посередине» якобы находятся «вне области ответственности». Судя по формулировкам, уязвимость, скорее всего, была отправлена через программу баг-баунти компании, соответственно, ни патча, ни награды Пол, вероятно, не увидит.

Формально представитель AMD может быть прав, но на практике планка для атаки выглядит пугающе низкой. Достаточно, например, подменить домен ati.com или перехватить трафик в публичной сети Wi-Fi (функция автообновления доверяет источнику безо всяких проверок и валидации). А учитывая, сколько устройств по всему миру используют видеокарты AMD, поверхность атаки измеряется миллионами компьютеров.

Ситуацию усугубляет и то, что непонятно, как давно обновления доставляются таким образом.

Обнаружил всё это Пол случайно — его насторожило внезапное появление консольного окна на новом игровом компьютере. Дальше, по его словам, он решил декомпилировал софт. В процессе выяснилось, что список обновлений действительно загружается по HTTPS, но сами драйверы скачиваются по HTTP, через странно названный URL с опечаткой — Devlpment.

Если описанное подтвердится, остаётся надеяться, что AMD всё-таки признает проблему, срочно переведёт загрузку драйверов на HTTPS и выплатит Полу заслуженное вознаграждение. Потому что в 2026 году такие ошибки выглядят уже не просто неловко, а откровенно опасно.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »