Temporal Misalignment Attacks against Multimodal Perception in Autonomous Driving

Il paper introduce DejaVu, un attacco che sfrutta le vulnerabilità di sincronizzazione temporale nelle reti veicolari per creare disallineamenti tra i flussi di dati di telecamera e LiDAR, compromettendo drasticamente le prestazioni dei sistemi di percezione multimodale per la guida autonoma e causando gravi conseguenze come collisioni e frenate fantasma.

L'essenziale

🚗 L'Inganno del "Déjà Vu": Quando le Auto a Guida Automatica Perdono il Tempo

Immagina di guidare un'auto a guida autonoma. Per vedere il mondo, questa auto non usa solo gli occhi (la telecamera), ma ha anche un "super-udito" che misura le distanze con precisione laser (il LiDAR). Per prendere decisioni sicure, il cervello dell'auto deve unire queste due informazioni in un unico momento perfetto. È come se due amici dovessero raccontare la stessa storia: se uno parla di ieri e l'altro di oggi, la storia diventa confusa e pericolosa.

Gli autori di questo studio hanno scoperto un modo per ingannare questo cervello, creando un attacco chiamato DEJAVU.

🕰️ Il Concetto Chiave: La Sincronizzazione

Pensa a un'orchestra. Il violino (la telecamera) e il violoncello (il LiDAR) devono suonare esattamente nello stesso istante per creare musica armoniosa. Se il violoncello suona un secondo dopo, la musica diventa un disastro.
Nelle auto autonome, i sensori scattano foto e misurano distanze a velocità diverse. Il sistema usa un "orologio globale" per assicurarsi che la foto della telecamera e la misura del LiDAR appartengano allo stesso istante.

🎭 L'Attacco DEJAVU: Il Falso Orario

L'attacco DEJAVU non distrugge i sensori e non cambia le immagini. È molto più subdolo: l'attaccante ruba e modifica solo l'orario scritto sui messaggi dei sensori.

Immagina di essere un musicista in un'orchestra. Invece di suonare stonato, cambi semplicemente l'orario sul tuo spartito.

• L'inganno: L'attaccante prende i dati del LiDAR (che sono reali e corretti) ma scrive sopra un orario "finto" che dice che sono stati presi 5 secondi fa, anche se sono stati presi ora.
• Il risultato: Il cervello dell'auto, vedendo che l'orario del LiDAR corrisponde a quello della telecamera (grazie al trucco), unisce i due dati. Ma in realtà, sta unendo una foto di oggi con una misura di ieri.

📉 Cosa Succede all'Auto? (Le Scoperte Sorprendenti)

Gli scienziati hanno testato questo trucco su diversi modelli di auto e hanno scoperto che ogni "cervello" ha una debolezza specifica:

1. L'Auto che si fida troppo del Laser (Rilevamento Oggetti):
   Alcuni modelli di intelligenza artificiale sono ossessionati dal LiDAR (il laser). Se l'attaccante ritarda anche solo una singola foto del laser, l'auto diventa quasi cieca.

   • L'analogia: È come se un detective, per trovare un ladro, guardasse solo le impronte digitali. Se qualcuno cambia l'orario delle impronte, il detective smette di vedere il ladro.
   • Il danno: La capacità di vedere le auto si è ridotta dell'88,5%. L'auto potrebbe non vedere un'auto che le viene incontro e causare un incidente.

2. L'Auto che si fida troppo degli Occhi (Inseguimento Oggetti):
   Altri modelli, invece, si affidano molto alle telecamere per seguire il movimento delle auto (inseguimento). Se l'attaccante ritarda le immagini della telecamera di tre secondi, l'auto perde il contatto con gli oggetti.

   • L'analogia: È come guardare un film proiettato a scatti. Se i personaggi si muovono a scatti, non riesci a capire dove stanno andando.
   • Il danno: La capacità di seguire le auto è crollata del 73%.

🚨 Le Conseguenze Reali: Incidenti Fantasma

Hanno provato questo attacco su un simulatore di guida reale (Autoware) e i risultati sono stati spaventosi:

• Il Fantasma: L'auto vede un camion che è già passato da un'ora (perché i dati sono vecchi) e frena di colpo in mezzo alla strada, rischiando di far scontrare chi viene dietro.
• Il Buco Nero: L'auto non vede un camion che le viene incontro davvero, perché i dati sono così vecchi che l'auto pensa che il camion non esista più. Risultato: un incidente frontale.

🛡️ Come Difendersi?

Il paper suggerisce che non basta avere sensori potenti; bisogna anche proteggere l'orologio.

• Firme Crittografiche: Ogni messaggio dovrebbe avere una "firma digitale" che certifica che l'orario non è stato manomesso.
• Controlli di Coerenza: Il cervello dell'auto dovrebbe chiedersi: "Ha senso che questo oggetto sia qui? Se la telecamera dice 'ora' e il laser dice 'ieri', qualcosa non va!".

In Sintesi

Il paper DEJAVU ci insegna che nelle auto autonome, il tempo è tanto importante quanto la vista. Un attaccante intelligente non ha bisogno di distruggere i sensori; basta che giochi con gli orologi per far perdere la cognizione del tempo all'auto, trasformando un viaggio sicuro in un incubo di collisioni e frenate improvvise. È un monito a non fidarsi ciecamente dei dati senza verificare se il "quando" corrisponde al "cosa".

Sommario tecnico

1. Il Problema: Vulnerabilità della Fusione Multimodale

La guida autonoma (AD) si basa sulla fusione multimodale (MMF) per integrare dati provenienti da sensori eterogenei, principalmente telecamere e LiDAR, al fine di ottenere una comprensione robusta dell'ambiente. Sebbene ogni sensore abbia punti di forza unici (es. le telecamere per il dettaglio semantico, il LiDAR per la profondità precisa), la loro integrazione richiede una sincronizzazione temporale precisa.

Il paper evidenzia che i sistemi MMF attuali fanno affidamento su un'ipotesi di sicurezza fondamentale: i timestamp forniti dai sensori sono fedeli al tempo universale di cattura. Tuttavia, le infrastrutture di rete veicolari (come l'Ethernet Automotive con TSN/gPTP) e i middleware (come ROS2) presentano vulnerabilità che permettono a un attaccante di manipolare i timestamp senza alterare i dati grezzi (payload). Questo porta a un disallineamento temporale: il sistema di fusione associa erroneamente dati provenienti da istanti fisici diversi, creando rappresentazioni semanticamente incoerenti che degradano le prestazioni di percezione e possono causare incidenti.

2. Metodologia: L'Attacco DEJAVU

Gli autori introducono DEJAVU, un attacco che sfrutta le vulnerabilità delle reti veicolari per manipolare l'integrità temporale. L'attacco non modifica i dati dei sensori (rendendolo stealth contro i rilevatori basati sul contenuto), ma altera i metadati temporali.

• Modello di Minaccia: L'attaccante può accedere alla rete veicolare tramite accesso fisico (OBD-II), exploit remoti o attacchi alla catena di fornitura. L'attaccante possiede tre capacità principali:
  1. Disruzione della sincronizzazione dell'orologio: Manipolazione del protocollo gPTP (es. spoofing del Grandmaster Clock) per causare un drift temporale reale.
  2. Manipolazione dell'integrità del timestamp: Alterazione diretta dei timestamp nei pacchetti trasmessi da un ECU compromesso.
  3. Impersonificazione di nodi ROS2: Iniezione di messaggi ritardati ma validi (attacchi di replay) con timestamp aggiornati per ingannare i sincronizzatori temporali.
• Meccanismo: L'attaccante introduce un offset temporale ($\delta$) nei timestamp. Il nodo di fusione, utilizzando una sincronizzazione approssimata (es. ApproximateTimeSynchronizer in ROS2), associa frame di telecamera e nuvole di punti LiDAR che sembrano vicini nel tempo (basandosi sui timestamp manipolati) ma che in realtà catturano scene fisiche distanti nel tempo.
• Strategie di Attacco:
  • Ritardo Costante: Un offset fisso applicato a tutti i messaggi di un sensore.
  • Ritardo Casuale: Un offset variabile estratto da una distribuzione uniforme, che disturba la sequenza temporale.

3. Contributi Chiave

1. Proposta di DEJAVU: La prima valutazione completa degli attacchi di disallineamento temporale contro la percezione multimodale nella guida autonoma, che viola le ipotesi di fiducia fondamentali (sincronizzazione, integrità del timestamp, sicurezza del middleware).
2. Scoperta di Vulnerabilità Specifiche per Modaltà: L'analisi empirica rivela una sensibilità sbilanciata tra i compiti di percezione:
   • La rilevazione di oggetti 3D è eccessivamente dipendente dal LiDAR.
   • Il tracciamento di oggetti multipli (MOT) è altamente dipendente dalle telecamere.
3. Validazione su Piattaforme Reali:
   • Implementazione su un banco di prova Hardware-in-the-Loop (HIL) con Automotive Ethernet e TSN.
   • Integrazione end-to-end in Autoware, un stack completo di guida autonoma, simulando scenari di guida reale.
4. Rilascio Open Source: Codice e artefatti disponibili pubblicamente per la riproducibilità.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su dataset standard (KITTI, nuScenes) e modelli SOTA (MVXNet, BEVFusion, MMF-JDT).

• Impatto sulla Rilevazione 3D (Object Detection):
  • I modelli sono estremamente fragili rispetto ai ritardi del LiDAR.
  • Un ritardo di solo 1 frame sul LiDAR riduce la mAP (mean Average Precision) per la rilevazione di auto fino all'88,5% (da 84,1 a 9,7 su MVXNet/KITTI).
  • I ritardi sulla telecamera hanno un impatto minimo sulla rilevazione 3D, confermando la predominanza del LiDAR in questi modelli.
• Impatto sul Tracciamento (Multi-Object Tracking - MOT):
  • Il modello di tracciamento (MMF-JDT) è molto più sensibile ai ritardi della telecamera.
  • Un ritardo di 3 frame sulla telecamera fa crollare la MOTA (Multiple Object Tracking Accuracy) del 73%.
  • I ritardi casuali (random) sono particolarmente dannosi per il tracciamento perché rompono la coerenza della sequenza temporale necessaria per l'associazione degli oggetti.
• Conseguenze End-to-End (Simulazione Autoware):
  • L'attacco DEJAVU ha causato scenari critici reali:
    • Collisioni dirette: Il veicolo non rileva un camion in arrivo (falso negativo) a causa di dati LiDAR ritardati.
    • Frenata fantasma (Phantom Braking): Il veicolo frena bruscamente per un ostacolo che non esiste più (falso positivo) perché sta elaborando dati LiDAR vecchi.
    • Deriva nella localizzazione (SLAM) e perdita di controllo.

5. Significato e Implicazioni

Il lavoro di DEJAVU dimostra che la sicurezza dei sistemi di guida autonoma non può limitarsi alla protezione dei dati grezzi o alla robustezza dei modelli di deep learning contro perturbazioni visive. La integrità temporale è un prerequisito critico spesso trascurato.

• Ridefinizione delle Minacce: Dimostra che un attaccante può causare guasti catastrofici senza alterare fisicamente i sensori o i dati, ma semplicemente manipolando il "quando" i dati vengono elaborati.
• Progettazione Resiliente: Evidenzia la necessità di architetture di percezione che siano consapevoli della sincronizzazione e che includano meccanismi di difesa come:
  • Timestamp autenticati crittograficamente.
  • Controlli di coerenza temporale inter-modale (es. verificare la consistenza cinematica tra IMU, odometria e dati sensoriali).
  • Strategie di fusione adattive che riducono la fiducia nei sensori con dati temporali sospetti.

In sintesi, DEJAVU rivela una vulnerabilità sistemica fondamentale: la fiducia cieca nei timestamp di rete in ambienti non sicuri può portare al collasso delle capacità percettive di un veicolo autonomo, con conseguenze dirette sulla sicurezza fisica.