看黑客如何劫持了三個機器人並進行監視和破壞活動
由於科幻小說的潤色,人類越來越恐懼有一天智能機器人會「揭竿而起」,挑戰人類的統治地位。但是,在自動化的時代,我們面臨的更可能發生的潛在威脅,並不是這些模擬人類的小玩意兒正在不斷發展自己的思想,而是一個真真正正的人類黑客會控制它們,實施攻擊。
上周,在新加坡舉行的Hack in the Box 安全會議(HITBSecConf)上,IOActive公司的安全研究人員Lucas Apa和Cesar Cerrudo展示了針對3大主流機器人所開發的黑客攻擊技術,這3大機器人包括:被稱為「Alpha2」和「NAO」的人型生物機器人,以及由Universal Robots公司出售的協作式工業機器人手臂。
實驗表明,兩名研究人員可以劫持這些機器人,改變關鍵的安全設置,甚至在兩個較小的人型生物機器人中,研究人員還可以發送任意命令,將其轉變為監視設備,把用戶的視頻和音頻等信息秘密地傳輸給遠程間諜設備。
IOActive的首席技術官Cesar Cerrudo表示,這些設備一般可以移動,看到以及聽到東西。他認為,正是這些功能使得機器人像傳統計算機或智能手機一樣成為攻擊者的目標。而一旦攻擊者操縱其中任何一項功能,都會為用戶安全帶來巨大威脅。
機器人攻擊
在實際的攻擊中,Cerrudo和Apa發現,針對Universal Robots公司研製的工業協作機器人發起的攻擊可能會造成人身威脅。這些「機器手臂」可以延展到4英尺,舉起22磅重的物體,並且在工業環境中與人類一起工作。
兩名研究人員發現,該機器人的軟體沒有真正的身份驗證程序,且僅實施易於破解的完整性檢查來防止黑客安裝惡意更新。研究人員在該機器人產品中發現了一種稱為「緩衝區溢出」的常見安全漏洞,可以允許未經授權的攻擊者獲取機器手臂操作系統的訪問許可權,並複寫「safety.conf」文件,限制機器人的運動速度、承載力量,以及當紅外線感測器檢測出附近有人時的反應。
研究人員警告稱,這不僅可能會導致機器人過度延展或限制手臂而造成自身損害,而且可能會對人身構成威脅。Apa說:
這些機器人可能會因為過度延展或壓制力量造成實際的『骨折』。安全防護是避免傷害周圍人員的最終方法,如果被黑客入侵,後果將是災難性的。
與Universal Robots工業協作機器手臂相比,IOActive公司研究人員關注的另外兩款機器人比較小,是更為友善的「伴侶型」機器人,它們可以用於娛樂、教育以及語音交互等。研究人員表示,他們可以像控制Universal Robots「機器手臂」一樣,在兩個機器人上安裝軟體,以完全控制它們。
他們發現中國公司UBTech出售的Alpha2機器人運行了一個Google的Android操作系統版本,該版本不使用代碼簽名(一種防止流氓軟體安裝的安全措施)。此外,Alpha2也沒有加密其連接,導致攻擊者可以使用「中間人攻擊」來注入惡意應用程序。
另一款由日本軟銀公司出售的NAO機器人也存在類似的漏洞; IOActive的研究人員表示,該機器人的代碼最初只是作為一個開發版本,但被軟銀公司和法國初創公司Aldebaran(研發了NAO機器人)提前推出市場。
事實上,早在去年10月,研究安全防禦工作的白澤安全團隊就在GeekPwn2016黑客大賽上展示了遠程控制Aldebaran NAO機器人的技術。他們通過網路觸發漏洞,進而遠程入侵併控制了Aldebaran NAO機器人,看機器人所見,聽機器人所聽,成功實現對其遠程監視和竊聽。
Apa和Cerrudo進行的研究顯示,NAO機器人中易受攻擊的固件同樣被用於Peppe機器人中,該機器人是軟銀公司銷售的一款基於雲端,並且擁有情感的人型機器人。
嚴重後果
研究人員表示,雖然目前沒有跡象表明黑客利用了這些漏洞,但他們稱,這些機器人很容易被黑客攻擊,而製造商對此漠不關心,這一事實增加了機器人對家庭、辦公室和工業領域可能帶來的安全隱患。
Apa表示:
我們的研究表明,即使是非軍事機器人也能成為可造成人身傷害的武器。這些機器人不會使用子彈或炸藥,但是會利用它們的麥克風、攝像頭、胳膊和腿。不同之處在於,不久後它們就會出現在我們身邊,我們需要儘早確保安們不會給我們帶來危險。
據悉,今年早些時候的研究發現,以下五家機器人製造商銷售的機器人和機器人軟體中存在50多個可用的安全漏洞:
丹麥Universal Robots;軟銀機器人公司(SoftBank Robotics);日本Asratec公司;中國的優必選(UBTECH)機器人公司;韓國Robotis公司;美國Rethink Robots公司;
Apa表示,被警告的六家機器人製造商中,目前只有Rethink Robotics一家稱已經解決一些問題。他說,對此他無法證實,因為他的團隊沒有接觸到那家公司生產的機器人。
Rethink Robotics主要生產兩款智能協作機器人——Baxter和SawyerBaxter。該公司發言人稱,除了其教育和研究版機器人還存在兩個問題,所有的問題都得到解決。
UBTech發言人在一份聲明中寫道,「UBTech已經全面解決了所有相關問題」。而軟銀公司的發言人則寫道,「只要用戶為機器人和連接的WIFI網路設置了強大的密碼,我們認為沒有任何問題需要擔心」。
但是,根據Apa和Cerrudo對其它五家機器人製造商進行的最新評估結果顯示,這兩家機器人製造商並沒有解決其設備中存在的安全問題。
Universal Robots發言人在一份聲明中表示,
雖然我們的產品符合其規格和規定的標準,但我們已經意識到該報告中闡述的安全問題,目前,我們正在密切監測安全專家所描述的潛在威脅並研製應對之策。
據悉,目前已經有100多名機器人專家聯名簽署了一份信函,敦促聯合國禁止開發殺手級軍用機器人或全自動武器。
所以,忘記什麼科幻小說的情節吧,機器人的漏洞已經出現,很快地,黑客們就會採取行動。Cerrudo說,
這幾年來,這些機器人已經與家庭生活和商業、工業緊密相連,一旦發生黑客入侵行為,所造成的後果將難以預計。
本文翻譯自:https://www.wired.com/story/watch-robot-hacks-spy-sabotage/,如若轉載,請註明來源於嘶吼: http://www.4hou.com/info/news/7418.html
推薦閱讀:
※脆弱的推薦系統: 通過偽造共同訪問對推薦系統進行攻擊
※「小馬激活」病毒新變種分析報告
※「公司剛上班員工全被抓」震撼網路,這組照片告訴你信息泄露有多嚴重
※32TB Windows 10核心代碼泄漏,被人上傳至第三方公開網站
TAG:信息安全 |