探索发现 · 交大智慧

上海交大陈东尧老师获首届VehicleSec 2023最佳论文奖

近日,首届Symposium on Vehicle Security and Privacy (VehicleSec 2023)与国际网络安全顶会NDSS 2023在美国圣地亚哥共同举办。上海交通大学电子信息与电气工程学院约翰·霍普克罗夫特计算机科学中心助理教授陈东尧以第一作者身份发表的论文获VehicleSec 2023会议唯一最佳论文奖(Best Paper Award)。

获奖的论文题目为“Guess Which Car Type I Am Driving: Information Leak via Driving Apps”(车载应用中的隐私泄漏研究)。上海交通大学为该论文第一作者单位,其它合作者包括克莱姆森大学计算机系助理教授、TigerSec研究中心创办人Mert D. Pesé教授,密西根大学安娜堡分校计算机系Kevin and Nancy O'Connor终身教授、ACM以及IEEE Fellow Kang G. Shin教授。

1.jpg

研究背景

车型信息可能包含有多种敏感信息,例如收入、消费习惯,甚至职业。如果这项信息被大范围曝光,那将会使诸多个人信息陷入泄漏的危险之中。恶意攻击者也可以从中获得很大的不正当利益(例如定向广告、深入用户画像等)。这项研究发现了一种可以通过手机上的零许可(zero-permission)传感器来实现的车型识别方法。

研究成果

该论文从车辆的振动状态出发,深入研究了通过振动特征来分辨车型的可行性。同时,该研究发现车辆的振动相关的信息可用智能手机中的惯性传感器(inertial measurement unit,IMU)来采集。如图1所示,引擎的振动或是车体的振动若被手机中的恶意app所采集,攻击者将能够从IMU数据中推断出车型信息。由于恶意app仅使用零许可传感器,该攻击将很难被用户或是安全中心所发现。

2.png

图1 论文提出的攻击模型

基于IMU有限的采样率,为了能够更全面地获取车型信息,研究人员提出了基于谐波(overtone)以及叠频(frequency aliasing)的提升采样区间的方法。为了进一步提升车型分类的准确度和可用性,研究人员提出无需训练的引擎分类方法和振动频率分析思路。如图2所示,引擎分类可以通过分析振动主频区间的方式来快速实现,从而进一步降低了攻击的门槛。

3.png

4.png

图2 不需训练的引擎分类模型,以及基于振动频率的车型分类算法框架

为了验证所提出方法的准确性,研究人员分析了4种车型(小型、中型、SUV,以及皮卡)的分类精度。如图3所示,算法的分类精度可以达到85.75%。从而仅通过少量的零许可数据实现了较高精度的车型分析。

5.png

图3 通过混淆矩阵来展示的车型分类效果

这一发现将会大大拉低攻击者获取车型信息的门槛,因而需要数据安全从业者的重点关注。相关的防御措施可以通过限制IMU采样频率的方式来实现。研究者特别建议,移动操作系统(mobile OS,如HarmonyOS、iOS、Android)一旦监测到IMU在进行高频采样,OS应当提前预知用户,从而达到隐私保护的效果。

关于VehicleSec 2023

VehicleSec 2023是基于多年与NDSS成功合办的 AutoSec (Automotive and Autonomous Vehicle Security) Workshop升级而来。AutoSec是近年来在学术界迅速发展、备受关注的新兴研讨会,与安全顶会 NDSS 合办,专注于自动驾驶和智能交通安全。区别于很多安全会议,VehicleSec非常重视研究成果在现实世界系统的可行性和影响力,致力于开展对现实世界有推动意义的研究。陈东尧该篇论文被评为大会最佳论文,代表了系统安全领域对论文研究者的科研成果及科研水平的高度认可。

6.jpg

陈东尧,上海交通大学电子信息与电气工程学院约翰·霍普克罗夫特计算机科学中心助理教授,于美国密西根大学安娜堡分校计算机科学与工程系获得博士学位。研究领域主要为物联网(IoT)系统和安全,探索机器学习与现实生活的结合。其研究成果的主要应用场景是下一代智慧交通与医疗。他在MobiCom,MobiSys,UbiComp,CCS等相关国际顶级学术会议中发表过多篇论文。同时,担任多个国际知名会议的程序委员会委员(TPC member),如MobiCom 2022和2023,MobiSys 2023,MobiHoc 2021。

论文链接:https://www.ndss-symposium.org/wp-content/uploads/2023/02/vehiclesec2023-23048-paper.pdf

电子信息与电气工程学院
电子信息与电气工程学院