NAO 和 Pepper 機器人中被曝存在漏洞
責編:mhshi |2018-03-14 10:16:41Softbank Robotics?公司的?NAO?和?Pepper?機器人中被曝存在漏洞,可引發代價高昂的勒索軟件攻擊,導致商用機器人停止運轉、咒罵消費者,甚至是實施暴力動作。
IOActive?實驗室的研究人員在卡巴斯基安全分析師峰會上公布了這個漏洞,表示在2017年1月就已將漏洞告知?Softbank?公司,但后者至今仍未發布任何補丁。
研究人員指出,這個漏洞能引發針對機器人所收集的機密傳輸信息的攻擊如高清視頻內容、最多四個方向的麥克風捕獲的音頻、以及運行在機器人上的支付信息或其它商業信息。另外一個嚴重的勒索軟件目標是機器人宕機,給企業帶來經濟損失。
IOActive?實驗室在白皮書中指出,“因此可以推斷,中斷服務和/或生產是攻擊者的另外一個戰略。攻擊者不是加密數據,而是攻擊關鍵的機器人軟件組件,從而導致機器人無法運轉,除非被害者支付勒索金。”
NAO?和?Pepper?機器人的售價在1萬美元左右,是全球使用最廣泛的研究和教育機器人。全球2000多家企業部署了2萬臺?Pepper?機器人,全球范圍內有1萬臺?NAO?機器人在使用。
PoC?已發布?勒索攻擊代價高昂
為了展示這個漏洞,IOActive?實驗室構建了針對?Softbank Robotics NAO?機器人的?PoC,它同時也可應用于?Pepper?機型。為了部署勒索軟件,該公司利用了一個未記錄的允許遠程命令執行的功能。
IOActive?實驗室表示,“這個未經記錄的功能可導致通過使用?ALLauncher?模塊和調用?internal_launch?功能的方法實例化?NAOqi?對象,從而執行遠程命令。”
隨后它們會感染模塊文件更改機器人默認操作、禁用管理功能、監控視頻/音頻并發送給命令和控制服務器。之后,攻擊者可提升權限、更改?SSH?設置并更改根密碼。為保證用戶重裝系統卸載勒索軟件,攻擊者也能破壞出廠設置機制。
攻擊者隨后可將感染通知給命令和控制服務器并感染所有行為文件,而后者包含執行機器人主要業務或動作的自定義代碼。
IOActive?實驗室表示,通過將自定義?Python?代碼注入在機器人上執行的任何?.xar?行為?XML?文件,機器人行為可遭惡意更改而無需更改項目文件。
IOActive?公司的?PoC?代碼說明,隨著越來越多的機器人出現在家庭、教育中心、企業和工業設備中,勒索軟件的代價將變得更加高昂而且也更加危險。
研究人員表示,更讓人擔心的是,機器人還能做出動作。勒索軟件或能攻陷機器人,而且如果機器人能隨意攻擊企業員工時會威脅人類生命的安全。
針對機器人的勒索軟件攻擊之所以如此有效的部分原因是,機器人的售價并不便宜而且也不容易恢復為出廠設置以修復軟件或硬件問題。普通勒索軟件可被輕易刪除且數據通過備份可以恢復。而機器人勒索軟件無法輕易刪除,機器人的問題需要受過訓練的特殊技術工人來修復,不運轉的宕機事件會帶來生產和收益的損失。
IOActive?實驗室表示,雖然其?PoC?勒索軟件針對的是?SoftBank?的?Pepper?和?NAO?機器人,但同樣的攻擊也可能出現在多家供應商提供的很多機器人上。
IOActive?實驗室在報告中指出,機器人供應商應該改進機器人的安全性,同時恢復并更新機器人的機制以將勒索軟件威脅最小化。如果機器人供應商不能快速行動,那么針對機器人的勒索軟件攻擊會對全球企業帶來損害。