IOActive說,一些最受歡迎的工業(yè)和消費者機器人很容易入侵,可以變成竊聽設(shè)備或武器。
這家總部位于西雅圖的網(wǎng)絡(luò)安全公司發(fā)現(xiàn)美國科技公司Teradyne旗下的Universal Robots公司出售的工業(yè)模型存在重大安全漏洞。它還引用了由日本軟銀集團生產(chǎn)的消費者機器人Pepper和NAO 以及由中國的UBTech Robotics制造的Alpha 1和Alpha 2的問題。
研究人員在周二發(fā)布的一份報告中寫道,這些漏洞可能會讓機器人變成監(jiān)視設(shè)備,暗中監(jiān)視他們的主人,或讓他們被劫持并用來傷害人身或破壞財產(chǎn)。
與其他許多工業(yè)模型一樣,Universal Robots的設(shè)備可以直接與人類一起工作,而不會被限制在籠子中以保證安全。但I(xiàn)OActive能夠遠(yuǎn)程破解控制機器人的軟件并禁用關(guān)鍵安全功能。這可能導(dǎo)致他們被編程為傷害周圍的人。
IOActive說,這尤其令人擔(dān)憂,因為這些機器足夠大并且具有足夠的功率,“即使在低速運行時,它們的力量也足以導(dǎo)致顱骨骨折。”
隨著用于家庭使用的機器人 - 軟銀的Pepper和NAO - IOActive發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者可以使用它們來錄制音頻和視頻,并秘密地將這些數(shù)據(jù)傳輸?shù)酵獠糠?wù)器。IOActive說,UBTech的Alpha系列家用機器人在存儲或傳輸之前沒有對他們捕獲的敏感信息進(jìn)行加密,這為網(wǎng)絡(luò)犯罪分子開辟了可能竊取重要個人信息的途徑。
與Universal Robots機器一樣,這些家用機器人也可以進(jìn)行物理攻擊。雖然它們比Universal Robots的工業(yè)模型強大得多,但是IOActive發(fā)布了一個測試視頻,其中一個可愛的NAO機器人突然開始以邪惡和瘋狂的方式笑,并用螺絲刀反復(fù)刺傷番茄。雖然視頻顯然是幽默的,但I(xiàn)OActive的研究人員表示它有一個嚴(yán)肅的意圖:可以想象機器人可能會對嬰兒,幼兒或?qū)櫸锇l(fā)動類似的攻擊。
“如果我們了解這些漏洞,很可能我們不是唯一的漏洞,”IOActive的首席安全顧問Lucas Apa在一封電子郵件中寫道。
Universal Robots發(fā)言人Thomas Stensbol表示,該公司了解IOActive的報道。“我們一直致力于為客戶提供產(chǎn)品改進(jìn)和工業(yè)強化服務(wù),”他在一封電子郵件聲明中寫道。“這包括監(jiān)控任何潛在的漏洞,而不僅僅是網(wǎng)絡(luò)安全。” 他說公司的產(chǎn)品“經(jīng)過了嚴(yán)格的安全認(rèn)證”。
SoftBank發(fā)言人Vincent Samuel表示,該公司將對IOActive的報告做出回應(yīng),但截至記者發(fā)稿時尚未這樣做。UBTech沒有回應(yīng)對IOActive的調(diào)查結(jié)果發(fā)表評論的請求。
Apa表示,SoftBank曾告訴IOActive,它計劃發(fā)布補丁以解決研究人員發(fā)現(xiàn)的安全漏洞,但尚未發(fā)布任何補救措施。
IOActive發(fā)布了一份初步報告,強調(diào)了3月份的許多漏洞,但隱瞞了用于入侵控制機器人的軟件的具體技術(shù),以便讓制造商有時間修復(fù)漏洞。周二,這家網(wǎng)絡(luò)安全公司公開了黑客的技術(shù)細(xì)節(jié)。
“我們在1月份聯(lián)系了所有供應(yīng)商,但令人遺憾的是,我們所展示的50多個漏洞已被修復(fù),”Apa說。“當(dāng)我們私下聯(lián)系他們時,大多數(shù)供應(yīng)商都沒有來,所以上市是我們唯一可用的選擇。”
Apa表示,其目的是讓公眾了解風(fēng)險,并促使制造商解決安全漏洞。
他說,IOActive希望強調(diào)機器人公司在設(shè)計過程的每個階段都需要考慮網(wǎng)絡(luò)安全。“這些都是機器人行業(yè)的早期階段,但隨著它的發(fā)展,我們希望確保它擁有更加安全的未來,”他說。
