根據斯堪的納維亞研究人員(Scandinavian Researcher)本月早些時候發表的研究報告,軟銀廣受歡迎的機器人Pepper有著無數的安全漏洞。
該機器人程序會允許未經身份驗證的根級別訪問,運行一個存在Meltdown / Spectre漏洞的處理器,同時可以通過未加密的HTTP進行管理,並具有一個默認的根密碼(root password)。來自瑞典厄勒布魯大學(Örebro University)的Alberto Giaretta以及瑞典技術大學(Technical University of Sweden)的Michele De Donno和Nicola Drgoni的研究人員認為,雖然機器人有各種各樣的一次性特技,但他們並沒有意識到對Pepper的安全進行任何系統評估。
他們的研究發現,“遠程將其轉化為‘網絡和物理武器’,暴露惡意行為是一件輕而易舉的事”。
一份令人遺憾的計算機安全隱患名單
Meltdown / Spectre安全漏洞可以被簡單地識別出來,因為它們所需要的只是一個Uname——一個終端命令。而一些Ettercap和Wireshark的工作顯示,管理頁面是不安全的,它會將用戶帳戶的一對登錄名/密碼暴露出來,這被稱為nao。
Pepper機器人似乎可以通過限制SSH對nao的訪問來實現某種安全性,而不是允許根用戶進行SSH訪問,但由於根帳戶的密碼是root過的(不可更改,並在用戶手冊中進行記錄),nao終端的超級用戶命令便為攻擊者提供了完全權限。
當然,在管理面板中也不存在“註銷”功能。
“作為一個附帶說明,我們堅信,到2018年,銷售此類容易受到攻擊的產品是不可容忍的,”研究人員表示。此外,它們還發現機器人很容易受到暴力攻擊。
這很可能會成功,因為軟銀的工程師並沒有提供任何保護措施,以防止攻擊者通過不受限制的密碼攻擊Pepper:“Pepper本身沒有部署任何對待暴力攻擊的對策,這再次成為了一個不可容忍並令人失望的發現。”
研究人員的下一個發現是Pepper上的一個名為“簡單動畫消息”(SAM)的應用程序,它可以允許用戶“設計一個簡單的編排,讓Pepper移動,並通過文本到語音的服務進行說明,之後在其平板電腦上顯示一幅圖“。
或許,你已經猜到接下來會發生什麼了:“應用程序無法控制文件擴展名。事實上,我們能上傳圖片,擴展名已修改為圖片的文本文件,甚至上傳無需執行擴展名編輯的純文本文件。”
所以,他們決定不建立一個概念驗證,但相信這對攻擊者來說很容易被利用。
然後是Pepper API,它通過Python,C ++和Java等語言公開其功能,提供對所有傳感器,攝像頭,麥克風和移動部件的訪問,其不安全成都“令人驚訝”。
“Pepper在端口9559上公開了一個服務,接受TCP消息並作出相應的反應。只要消息符合API,逐條設計,Pepper就會接受來自發送者的數據包“——無需身份驗證。
能夠通過TCP與Pepper進行通信的攻擊者可以使用攝像頭和麥克風來對用戶及其日常對話進行監聽;也可以與人進行遠程互動(比如,欺騙他們提供個人信息);或者把Papper培訓為一個攻擊機器人以及發送關機/工廠重置的命令等等。
閱讀更多 雲有料 的文章
