压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Softbank Robotics?公司的?NAO?和?Pepper?機器人中被曝存在漏洞，可引發(fā)代價高昂的勒索軟件攻擊，導致商用機器人停止運轉、咒罵消費者，甚至是實施暴力動作。

IOActive?實驗室的研究人員在卡巴斯基安全分析師峰會上公布了這個漏洞，表示在2017年1月就已將漏洞告知?Softbank?公司，但后者至今仍未發(fā)布任何補丁。

研究人員指出，這個漏洞能引發(fā)針對機器人所收集的機密傳輸信息的攻擊如高清視頻內容、最多四個方向的麥克風捕獲的音頻、以及運行在機器人上的支付信息或其它商業(yè)信息。另外一個嚴重的勒索軟件目標是機器人宕機，給企業(yè)帶來經(jīng)濟損失。

IOActive?實驗室在白皮書中指出，“因此可以推斷，中斷服務和/或生產是攻擊者的另外一個戰(zhàn)略。攻擊者不是加密數(shù)據(jù)，而是攻擊關鍵的機器人軟件組件，從而導致機器人無法運轉，除非被害者支付勒索金。”

NAO?和?Pepper?機器人的售價在1萬美元左右，是全球使用最廣泛的研究和教育機器人。全球2000多家企業(yè)部署了2萬臺?Pepper?機器人，全球范圍內有1萬臺?NAO?機器人在使用。

PoC?已發(fā)布?勒索攻擊代價高昂

為了展示這個漏洞，IOActive?實驗室構建了針對?Softbank Robotics NAO?機器人的?PoC，它同時也可應用于?Pepper?機型。為了部署勒索軟件，該公司利用了一個未記錄的允許遠程命令執(zhí)行的功能。

IOActive?實驗室表示，“這個未經(jīng)記錄的功能可導致通過使用?ALLauncher?模塊和調用?internal_launch?功能的方法實例化?NAOqi?對象，從而執(zhí)行遠程命令。”

隨后它們會感染模塊文件更改機器人默認操作、禁用管理功能、監(jiān)控視頻/音頻并發(fā)送給命令和控制服務器。之后，攻擊者可提升權限、更改?SSH?設置并更改根密碼。為保證用戶重裝系統(tǒng)卸載勒索軟件，攻擊者也能破壞出廠設置機制。

攻擊者隨后可將感染通知給命令和控制服務器并感染所有行為文件，而后者包含執(zhí)行機器人主要業(yè)務或動作的自定義代碼。

IOActive?實驗室表示，通過將自定義?Python?代碼注入在機器人上執(zhí)行的任何?.xar?行為?XML?文件，機器人行為可遭惡意更改而無需更改項目文件。

IOActive?公司的?PoC?代碼說明，隨著越來越多的機器人出現(xiàn)在家庭、教育中心、企業(yè)和工業(yè)設備中，勒索軟件的代價將變得更加高昂而且也更加危險。

研究人員表示，更讓人擔心的是，機器人還能做出動作。勒索軟件或能攻陷機器人，而且如果機器人能隨意攻擊企業(yè)員工時會威脅人類生命的安全。

針對機器人的勒索軟件攻擊之所以如此有效的部分原因是，機器人的售價并不便宜而且也不容易恢復為出廠設置以修復軟件或硬件問題。普通勒索軟件可被輕易刪除且數(shù)據(jù)通過備份可以恢復。而機器人勒索軟件無法輕易刪除，機器人的問題需要受過訓練的特殊技術工人來修復，不運轉的宕機事件會帶來生產和收益的損失。

IOActive?實驗室表示，雖然其?PoC?勒索軟件針對的是?SoftBank?的?Pepper?和?NAO?機器人，但同樣的攻擊也可能出現(xiàn)在多家供應商提供的很多機器人上。

IOActive?實驗室在報告中指出，機器人供應商應該改進機器人的安全性，同時恢復并更新機器人的機制以將勒索軟件威脅最小化。如果機器人供應商不能快速行動，那么針對機器人的勒索軟件攻擊會對全球企業(yè)帶來損害。