机器人是如何被入侵并被用于监视和破坏的首席安全官频道

很多科幻小说给人留下了很深的印象,首席安全官频道以至于有许多人担心某一天家用的机器人或者工业机器人会揭竿而起,开始天网般的起义。殊不知在这自动化时代,最大的威胁不是这些拟人的小玩意有了自己的思想,而是人类黑客获得了它们的控制权。

在上周晚些时候新加坡举行的theBox安全会议上,来自阿根廷的安全研究人员Lucas Apa和Cesar Cerrudo打算展示他们所开发的,针对三种当前很流行的机器人的攻击,其中有两个是很像人类的机器人,叫Alpha2和NAO,还有一个更大的,由Universal Robots销售的以工业使用为重点的机械手臂,两人的计划可以在下方的视频中观看 – 他们可以劫持这些机器,并更改关键的安全设置,对于两个较小的机器人,他们可以选择发送任何命令给它们,从而将他们转变为监视器,并暗中传输视频和音频。

两位安全研究人员在IOActive工作,首席技术官Cesar Cerrudo说:“它们能动,能听,能看见东西。”这些功能会让机器人至少像传统电脑或智能手机一样可以进行监视,他强调:“如果你入侵了这其中的一个,威胁就更大了。”

劫持机器人

实际上,三种攻击中最严重的物理威胁已经影响到Universal Robots的“collaborative”机器人,这些机器人的多关节机械臂有四英尺长(约122厘米),可以举起22磅(约10公斤)的东西,被用于在工业环境中协作人类工作。两名安全研究人员发现控制机器人的软件没有真正的身份验证,只有一个易于破解的完整性检查来防止黑客安装恶意更新。一个实时视频表明他们可以利用一种称为“缓冲区溢出”的常见安全漏洞来获得未经授权的系统访问权限,之后便可以覆盖“safety.conf”文件,这个文件限制了机器人的运动速度,以及当红外传感器检测到附近有人时的反应。

他们警告说,这个漏洞不仅可以导致机器人因自身过度伸展或过度压制而造成损坏,还会对周围的工作人员造成伤害。“这些机器人有能力导致骨折,”Apa说,“安全保护机制已经是避免受到伤害的最终方法,如果被黑客攻击,后果将不堪设想。”

IOActive的研究人员关注的另外两个是较小的,更友善的“伴侣”机器人,它们被用于娱乐,教育和亚马逊回声式语音交互。除了像Universal Robots一样编辑单个文件,两名研究人员表示他们还可以在这两个机器人上安装软件来完全控制他们。

他们发现中国公司UBTech出售的Alpha2运行着Google的安卓操作系统,它不使用签名(一种防止流氓软件安装的安全措施),Alpha2还没有加密其连接,这会允许攻击者运用中间人攻击来注入恶意程序,日本软银公司出售的NAO机器人也有类似的漏洞。IOActive的研究人员说,这些机器人的代码最初只是作为一个开发版本,但是因提前进入市场,出售的机器人就保留了这个开发版本。

下面的视频中,研究人员展示了对Alpha2的进行控制,让其变成了现实版“鬼娃恰奇”

侵犯隐私是一个更现实的担忧,现在大多数机器人都包含摄像头和麦克风,其数据不仅可以被拦截,黑客还能控制机器人在受害者家里到处移动,下面的视频中,研究人员劫持了NAO机器人来查看它们所面向的方向的画面。

严重后果

研究人员的入侵演示拓展了今年三月首次透露的机器人安全分析,而这份安全分析表明,由Rethink Robots,Robotis和Arsatec公司售卖的机器人及其机器人软件中已被发现有多于50个可入侵的安全漏洞。研究人员掩盖了他们使用的是哪个漏洞,以给予制造商一个机会来修复缺陷。另外,他们物理上只攻击了三个,其余的都是固件分析。

在WIRED的声明中,UBTech和Softbank均淡化了研究人员的调查结果。UBTech发言人在一份声明中写道:“UBTECH已经全面解决了所有相关问题。”软银发言人写道:“我们认为没有任何问题需要担心,用户只要为其WIFI设置了复杂的密码。”但是Apa和Cerrudo一直在留意着两个机器人的更新,且并没有看到一个解决设备安全问题的补丁。事实上,并不是WIFI设置了弱密码才可以利用这些漏洞。一个Universal Robots发言人在一份声明中表示:“虽然我们的产品符合其规定标准,但我们已经注意到该报告,我们也在密切监测所描述的潜在漏洞并准备对策。”

今年早些时候,来自意大利米兰另一支研究人员队伍表示,他们可以接管更大,具有更大潜在危险的工业机械手臂,即220磅重的ABB IRB140。Apa和Cerrudo指出,他们分析的NAO机器人的有漏洞的固件也被用于Pepper机器人,这是软银销售的一个更大的人形机器人,被用于家庭或零售,有时甚至作为商店POS设备。

忘掉科幻小说的情节吧,机器人已经暴露出了很多漏洞,大量黑客很快就会有滥用的动机,正如Cerrudo所说:“在未来,这些机器人将与家庭生活及商业紧密相连。当他们被黑客入侵时,后果是非常严重的。”由此看来,现阶段担心机器人揭竿而起实属杞人忧天,加强安全防御措施方为重中之重。

*参考来源:WIRED,Covfefe编译,转载请注明来自FreeBuf.COM

2017-09-01 14:01 阅读:919