機器人現如今作為玩具、陪伴者、客戶助理、醫療服務人員等走進家庭、教育中心、企業以及工業工廠。網絡安全公司 IOActive 2017年對市面上多款智能機器人進行安全測試后發現50多項漏洞。
多家廠商的智能機器人存在安全漏洞
網絡安全公司 IOActive 2017年對市面上十多款智能機器人進行了安全測試,這些機器人來自多家知名制造商,包括日本軟銀機器人公司(SoftBank Robotics)、中國優必選機器人公司(UBTECH Robotics)、韓國 ROBOTIS 公司、丹麥優傲機器人公司(Universal Robots)、美國 Rethink Robotics 公司和軟銀子公司 Asratec Corp。安全人員最終從這些機器人中發現了50多個漏洞,攻擊者可借此通過機器人的麥克風和攝像頭實施監控,竊取數據,甚至造成嚴重的物理傷害。
IOActive 的研究人員警告稱,隨著人類與智能機器人之間的互動不斷加深,新的攻擊途徑和威脅場景也會不斷出現,攻擊者未來可能會利用機器人實施勒索攻擊。
機器人勒索攻擊有何不同?
在傳統的勒索攻擊中,黑客加密有價值的數據,并要求支付贖金解密數據,但機器人通常只是經手數據,不會儲存重要數據,因此,黑客的攻擊一般表現為改變機器人的行為,進而要求受害者支付贖金。
鑒于智能機器人存在以下幾個共同的特性,攻擊者利用機器人成功勒索的幾率較大:
智能機器人價格昂貴;
恢復出廠設置,修復軟件或硬件問題面臨困難;
通常情況下,當機器人發生故障時,必須返廠或請技術人員上門維修,無論是哪種方式,可能需要等上數周的時間才能恢復運作。
如果其中一臺機器人無法正常運作,企業和工廠每秒都會遭受損失。因此,中斷服務或生產可能會是攻擊者的一種策略。攻擊者不需要加密數據,而是瞄準機器人的關鍵軟件組件,讓機器人“罷工”,以此勒索贖金。
軟銀 NAO 機器人勒索攻擊演示過程
IOActive 利用深受歡迎的軟銀 NAO 機器人作為勒索攻擊演示對象。由于 Pepper 機器人與 NAO 的操作系統幾乎一樣,因此研究人員針對 NAO 的 PoC 惡意軟件同樣適用于 Pepper,目前軟銀銷售出去的 Pepper 和 NAO 機器人超過3萬臺。
IOActive 的研究人員在針對一臺 NAO 機器人的 PoC 勒索軟件攻擊演示中證明,惡意攻擊者可控制或破壞這類智能機器人。黑客可利用遠程命令執行漏洞修改機器人的默認操作,禁用管理功能,監控視頻/音頻,并將此類數據發送至命令與控制(C&C)服務器。
黑客同樣可利用該漏洞提權,修改 SSH 設置,修改根密碼禁用遠程訪問,并破壞工廠重置機制防止用戶恢復系統或隔離勒索軟件。
此外,黑客可利用另一個漏洞將自定義 Python 代碼注入 NAO 機器人的 .xar 行為文件。這個漏洞可讓黑客阻止機器人運行,顯示不健康的內容,在機器人與客戶互動時謾罵客戶,甚至做出暴力傷人的舉動等。
IOActive 的研究人員表示,PoC 勒索軟件適用于軟銀的 NAO 和 Pepper 機器人,但這種攻擊可能對每臺存在漏洞的機器人均奏效。
IOActive 發布的演示視頻顯示,研究人員成功篡改了 NAO 機器人的輸出語言,受研究人員控制的這臺機器人稱自己遭遇了黑客入侵,聲稱自己需要比特幣,要么送上比特幣,要么送命。
研究人員呼吁機器人制造商提高產品的安全性,改進機器人的恢復和更新機制,將勒索攻擊威脅風險降到最低。機器人制造商若不快速行動,勒索攻擊可能會讓企業用戶苦不堪言。
-
機器人
+關注
關注
211文章
28575瀏覽量
207750 -
智能機器人
+關注
關注
17文章
872瀏覽量
82424
原文標題:智能機器人攻擊來了!要么給比特幣,要么償命!
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論