Temporal Misalignment Attacks against Multimodal Perception in Autonomous Driving

Dit paper introduceert 'DejaVu', een aanval die de integriteit van tijdsynchronisatie in multimodale autonome voertuigsystemen manipuleert door subtiel te vertraagde camera- of LiDAR-data, wat leidt tot een drastische verslechtering van objectdetectie en -tracking en ernstige veiligheidsrisico's zoals botsingen en phantom braking veroorzaakt.

De kern

De "Deja Vu"-aanval: Waarom zelfrijdende auto's soms in de war raken

Stel je een zelfrijdende auto voor als een zeer slimme, maar soms verwarde kok. Om een perfecte maaltijd (veilig rijden) te bereiden, gebruikt deze kok twee belangrijke ingrediënten:

1. De Camera: Dit is het oog. Het ziet kleuren, tekens en details, maar kan diepte slecht inschatten.
2. De LiDAR: Dit is het meetinstrument. Het ziet de wereld als een 3D-puntenwolk en meet afstanden perfect, maar ziet geen kleuren of tekens.

Om veilig te rijden, moet de auto deze twee ingrediënten precies op hetzelfde moment combineren. Dit noemen ze "multimodale fusie". Als de camera zegt "er is een boom" en de LiDAR zegt "die boom is 10 meter weg", moeten deze twee berichten uit dezelfde seconde komen.

Het probleem: De "Deja Vu"-aanval

De onderzoekers van dit papier hebben een nieuwe manier bedacht om deze auto's te laten struikelen, zonder de camera of LiDAR fysiek kapot te maken. Ze noemen hun aanval DEJAVU.

Stel je voor dat de auto een orkest is. De camera is de viool en de LiDAR is de trompet. Als ze perfect synchroon spelen, klinkt het als muziek. Maar wat gebeurt er als de dirigent (de software die de tijdstippen regelt) een beetje gek wordt?

Bij de DEJAVU-aanval doet een hacker precies dat: hij speelt niet met de muziek zelf (de beelden of metingen blijven hetzelfde), maar hij verandert de tijd waarop de noten worden gespeeld.

Hoe werkt het? (De Analogie van de Verkeerslichten)

Stel je voor dat je op een kruising staat met een vriend. Jij kijkt naar links (camera) en je vriend kijkt naar rechts (LiDAR). Jullie moeten samen beslissen of het veilig is om over te steken.

• Normaal: Jullie kijken tegelijkertijd. Jij ziet een auto, je vriend meet de afstand. Samen beslissen jullie: "Nee, wachten."
• De Aanval: De hacker is een boze dirigent die in jullie hoofd fluistert. Hij zegt tegen je vriend (de LiDAR): "Je hebt die auto 5 seconden geleden gezien, niet nu!"
  • Jij ziet de auto nu.
  • Je vriend denkt dat hij de auto 5 seconden geleden zag.
  • De auto van je vriend is nu verouderd. In die 5 seconden is de echte auto al lang voorbij.
  • Jullie software denkt: "Oh, de auto is weg, we kunnen oversteken!"
  • Resultaat: Een ongeluk. De auto rijdt recht op de echte auto af.

Of het omgekeerde: Je vriend denkt dat hij een auto nu ziet, terwijl die al lang weg is. De auto remt plotseling voor een spookauto (een "phantom braking"), wat kan leiden tot een achtervolgingsongeval.

Wat ontdekten de onderzoekers?

Ze hebben ontdekt dat verschillende taken in de auto heel verschillend reageren op deze tijdsverwarring:

1. Het zien van objecten (Detectie): De auto is hier extreem afhankelijk van de LiDAR. Als je de LiDAR-data zelfs maar één fractie van een seconde vertraagt, ziet de auto objecten niet meer of op de verkeerde plek. Het is alsof je je meetlat een seconde te laat uitleest; de auto denkt dat de wereld stil staat terwijl hij beweegt.

   • Gevolg: De auto mist auto's, fietsers of voetgangers volledig.

2. Het volgen van objecten (Tracking): Hier is de auto juist heel afhankelijk van de Camera. Om te weten of een voetganger naar links of rechts loopt, heeft de auto de continue beelden van de camera nodig. Als de camera-data vertraagt, raakt de auto de draad kwijt.

   • Gevolg: De auto denkt dat een voetganger twee verschillende mensen zijn, of hij verliest een auto uit het oog.

Hoe hebben ze dit getest?

Ze hebben dit niet alleen op papier gedaan, maar in twee echte omgevingen:

1. Een testbaan met computers: Ze lieten een computerauto rijden in een gesimuleerde wereld en lieten de hacker de tijd manipuleren. De auto reageerde precies zoals voorspeld: hij botste of remde voor niets.
2. Een volledige simulatie (Autoware): Ze gebruikten professionele software die ook in echte zelfrijdende auto's wordt gebruikt. Ook hier zag je dat de auto in gevaarlijke situaties terechtkwam, zoals een frontale botsing of paniekremmen.

Wat betekent dit voor de toekomst?

De boodschap van dit onderzoek is helder: Synchronisatie is net zo belangrijk als de sensoren zelf.

Tot nu toe dachten mensen dat als je goede camera's en LiDAR's had, je veilig was. Dit papier laat zien dat als de "horloges" van die sensoren niet perfect synchroon lopen (of als een hacker ze kan verdraaien), het hele systeem instort.

De oplossing?
De onderzoekers suggereren dat we in de toekomst:

• Betere beveiliging moeten toevoegen aan de tijdsynchronisatie (zodat hackers de tijd niet kunnen vervalsen).
• Systemen moeten bouwen die kunnen merken als de tijd "raar" loopt en dan veiligheidsmaatregelen nemen (zoals langzamer rijden of stoppen).
• Meer vertrouwen moeten hebben in de combinatie van alle sensoren, zodat als één sensor in de war raakt, de anderen het nog wel goed kunnen doen.

Kortom: DEJAVU is een waarschuwing dat zelfrijdende auto's niet alleen "slim" moeten zijn, maar ook "op de hoogte" moeten blijven van de tijd, anders kunnen ze in een illusie terechtkomen met dodelijke gevolgen.

Technische samenvatting

Titel: Temporal Misalignment Attacks against Multimodal Perception in Autonomous Driving

Auteurs: Md Hasan Shahriar et al. (Virginia Tech, Amazon, Washington University)
Publicatie: IEEE Conference on Secure and Trustworthy Machine Learning (SaTML 2026)

---

1. Het Probleem

Autonome voertuigen (AV's) vertrouwen op multimodale sensorfusie (MMF), waarbij data van camera's, LiDAR en radar worden gecombineerd voor een robuuste waarneming van de omgeving. Een kritieke aanname in deze systemen is dat de sensoren nauwkeurig gesynchroniseerd zijn in de tijd. Omdat sensoren verschillende sample-frequenties hebben (bijv. camera's op 30-60 Hz, LiDAR op 10-20 Hz), moet het fusiesysteem asynchrone datastralen temporair aligneren op basis van tijdstempels.

Het paper identificeert een fundamentele kwetsbaarheid: de afhankelijkheid van tijdstempel-integriteit. Als een aanvaller de tijdstempels kan manipuleren zonder de sensorinhoud (payload) te veranderen, kan het fusiesysteem semantisch inconsistente dataparen combineren (bijv. een LiDAR-puntwolk van 500 ms geleden met een cameraframe van nu). Dit leidt tot temporale misalignement, wat de prestaties van downstream taken zoals objectdetectie en tracking ernstig kan degraderen, zelfs als de sensoren zelf niet worden gemanipuleerd.

2. Methodologie: DEJAVU Attack

De auteurs introduceren DEJAVU, een aanval die de integriteit van de tijd in het voertuignetwerk manipuleert om subtiele temporale misalignementen te creëren.

• Aanvalsvector: DEJAVU exploiteert kwetsbaarheden in de in-vehicle netwerkinfrastructuur (zoals Automotive Ethernet en ROS2/DDS). De aanvaller hoeft de sensorpayloads niet te veranderen, maar manipuleert alleen de tijdstempels in de packet-headers.
• Drie Aanvalsvermogens (Threat Model):
  1. Verstoring van Kloksynchronisatie (C1): De aanvaller neemt de rol van de "Grandmaster" in het gPTP (IEEE 802.1AS) protocol over en stuurt de klokken van sensoren terug, waardoor de werkelijke tijd en de gerapporteerde tijd uit elkaar lopen.
  2. Manipulatie van Tijdstempel-Integriteit (C2): Directe controle over een ECU om tijdstempels in verzonden pakketten te vervalsen.
  3. Impersonatie in ROS2 (C3): Een aanvaller doet zich voor als een legitieme sensorpublisher in het ROS2-netwerk en herpubliceert oude data met nieuwe, geloofwaardige tijdstempels (replay-aanval).
• Aanvalsstrategieën:
  • Constante Vertraging: Een vaste offset wordt toegevoegd aan alle tijdstempels van een sensor.
  • Willekeurige Vertraging: Tijdstempels worden willekeurig verschoven binnen een bepaald bereik, wat de volgorde van data verstoort.

3. Belangrijkste Bijdragen

1. Ontdekking van Modale Kwetsbaarheden: Het paper onthult dat verschillende perceptietaken ongelijk gevoelig zijn voor vertragingen in specifieke sensoren:
   • 3D Object Detectie: Is extreem afhankelijk van LiDAR-input. Camera-vertraging heeft weinig effect, maar LiDAR-vertraging is catastrofaal.
   • Multi-Object Tracking (MOT): Is sterk afhankelijk van camera-input (vanwege textuurinformatie voor associatie over tijd). LiDAR-vertraging heeft hier minder impact.
2. Hardware-in-the-Loop (HIL) Validatie: De auteurs hebben een testbed gebouwd met Automotive Ethernet en TSN om de aanval te realiseren en de impact op de tijdsynchronisatie te meten.
3. End-to-End Simulatie: Integratie van DEJAVU in de Autoware-stack (een industriestandaard voor autonoom rijden) om de gevolgen voor planning en controle te demonstreren, inclusief botsingen en "ghost braking".

4. Resultaten

De evaluatie is uitgevoerd op state-of-the-art modellen (MVXNet, BEVFusion, MMF-JDT) met datasets KITTI en nuScenes.

• Impact op 3D Object Detectie (MVXNet/BEVFusion):
  • Een vertraging van slechts 1 frame in de LiDAR-stroom resulteert in een daling van de mAP (mean Average Precision) voor auto's met tot 88,5% (van 84,1 naar 9,7).
  • Camera-vertraging heeft bijna geen invloed op de detectieprestaties.
  • Bij simultane vertraging van beide sensoren is het effect versterkend, maar de LiDAR-vertraging blijft de dominante factor.
• Impact op Multi-Object Tracking (MMF-JDT):
  • Tracking is zeer gevoelig voor camera-vertraging. Een vertraging van 3 frames in de camera-stroom laat de MOTA (Multiple Object Tracking Accuracy) voor auto's met 73% dalen.
  • Willekeurige vertragingen (Mul-DEJAVU) zijn schadelijker voor tracking dan constante vertragingen, omdat ze de sequentiële volgorde van objecten verstoren.
• End-to-End Gevolgen (Autoware):
  • False Negatives: Het voertuig mist een naderend voertuig omdat de LiDAR-data te oud is, wat leidt tot frontale botsingen.
  • False Positives: Het voertuig ziet een object dat al lang voorbij is (door vertraagde data) en voert onnodig noodremming uit ("phantom braking"), wat achteroprijden kan veroorzaken.
  • Lokalisatiefouten en SLAM-desynchronisatie treden ook op.

5. Betekenis en Conclusie

Het paper toont aan dat de veiligheid van multimodale perceptiesystemen in autonome voertuigen niet alleen afhangt van de nauwkeurigheid van de sensoren, maar ook van de integriteit van de tijdsynchronisatie.

• Kritieke Inzicht: Bestaande verdedigingsmechanismen (zoals spatiotemporale consistentiechecks) zijn vaak niet ontworpen om subtiele tijdstempelmanipulaties te detecteren, vooral niet als de datapayloads zelf legitiem zijn.
• Defensieve Aanbevelingen: De auteurs pleiten voor:
  • Versleutelde en geverifieerde tijdstempels (cryptografische handtekeningen).
  • Gebruik van meerdere tijdbronnen (PTP, GNSS, lokale RTC).
  • Detectie van anomalieën in de cross-modale consistentie (bijv. met One-Class SVM) en kinematische checks.
  • Adaptieve fusie die rekening houdt met vertragingen en bij lage vertrouwen de autonomie verlaagt.

Conclusie: DEJAVU demonstreert dat een aanvaller met toegang tot het voertuignetwerk, zonder de sensoren fysiek te beschadigen, autonoom rijden kan laten falen door simpelweg de "tijd" te manipuleren. Dit onderstreept de noodzaak van "synchronization-aware" ontwerp in de architectuur van autonome systemen.