机器人现如今作为玩具、陪伴者、客户助理、医疗服务人员等走进家庭、教育中心、企业以及工业工厂。网络安全公司 IOActive 2017年对市面上多款智能机器人进行安全测试后发现50多项漏洞。
多家厂商的智能机器人存在安全漏洞
网络安全公司 IOActive 2017年对市面上十多款智能机器人进行了安全测试,这些机器人来自多家知名制造商,包括日本软银机器人公司(SoftBank Robotics)、中国优必选机器人公司(UBTECH Robotics)、韩国 ROBOTIS 公司、丹麦优傲机器人公司(Universal Robots)、美国 Rethink Robotics 公司和软银子公司 Asratec Corp。安全人员最终从这些机器人中发现了50多个漏洞,攻击者可借此通过机器人的麦克风和摄像头实施监控,窃取数据,甚至造成严重的物理伤害。
IOActive 的研究人员警告称,随着人类与智能机器人之间的互动不断加深,新的攻击途径和威胁场景也会不断出现,攻击者未来可能会利用机器人实施勒索攻击。
机器人勒索攻击有何不同?
在传统的勒索攻击中,黑客加密有价值的数据,并要求支付赎金解密数据,但机器人通常只是经手数据,不会储存重要数据,因此,黑客的攻击一般表现为改变机器人的行为,进而要求受害者支付赎金。
鉴于智能机器人存在以下几个共同的特性,攻击者利用机器人成功勒索的几率较大:
智能机器人价格昂贵;
恢复出厂设置,修复软件或硬件问题面临困难;
通常情况下,当机器人发生故障时,必须返厂或请技术人员上门维修,无论是哪种方式,可能需要等上数周的时间才能恢复运作。
如果其中一台机器人无法正常运作,企业和工厂每秒都会遭受损失。因此,中断服务或生产可能会是攻击者的一种策略。攻击者不需要加密数据,而是瞄准机器人的关键软件组件,让机器人“罢工”,以此勒索赎金。
软银 NAO 机器人勒索攻击演示过程
IOActive 利用深受欢迎的软银 NAO 机器人作为勒索攻击演示对象。由于 Pepper 机器人与 NAO 的操作系统几乎一样,因此研究人员针对 NAO 的 PoC 恶意软件同样适用于 Pepper,目前软银销售出去的 Pepper 和 NAO 机器人超过3万台。
IOActive 的研究人员在针对一台 NAO 机器人的 PoC 勒索软件攻击演示中证明,恶意攻击者可控制或破坏这类智能机器人。黑客可利用远程命令执行漏洞修改机器人的默认操作,禁用管理功能,监控视频/音频,并将此类数据发送至命令与控制(C&C)服务器。
黑客同样可利用该漏洞提权,修改 SSH 设置,修改根密码禁用远程访问,并破坏工厂重置机制防止用户恢复系统或隔离勒索软件。
此外,黑客可利用另一个漏洞将自定义 Python 代码注入 NAO 机器人的 .xar 行为文件。这个漏洞可让黑客阻止机器人运行,显示不健康的内容,在机器人与客户互动时谩骂客户,甚至做出暴力伤人的举动等。
IOActive 的研究人员表示,PoC 勒索软件适用于软银的 NAO 和 Pepper 机器人,但这种攻击可能对每台存在漏洞的机器人均奏效。
IOActive 发布的演示视频显示,研究人员成功篡改了 NAO 机器人的输出语言,受研究人员控制的这台机器人称自己遭遇了黑客入侵,声称自己需要比特币,要么送上比特币,要么送命。
研究人员呼吁机器人制造商提高产品的安全性,改进机器人的恢复和更新机制,将勒索攻击威胁风险降到最低。机器人制造商若不快速行动,勒索攻击可能会让企业用户苦不堪言。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
