天创培训:您身边的信息安全培训专家!
行业动态
安全公司IOActive开发的概念验证攻击能让智能机器人“黑化”

  安全公司IOActive开发的概念验证攻击能让智能机器人“黑化”

  在去年,美国网络安全公司IOActive对市面上在售的10款智能机器人进行了安全测试,并从这些机器人身上发现了近50个安全漏洞。漏洞使得攻击者能够获得机器人的完全控制权限,通过机器人的麦克风和摄像头进行间谍活动、窃取用户个人数据,甚至造成直接的人身伤害。

  根据相关报道显示,这些机器人主要来自六家制造商,它们分别是美国Rethink Robotics公司、丹麦优傲机器人公司(Universal Robots)、日本软银机器人公司(SoftBank Robotics)、日本Asratec公司和中国优必选(UBTECH)机器人公司和韩国Robotis公司。

安全公司IOActive开发的概念验证攻击能让智能机器人“黑化”

  虽然,IOActive公司已经就他们的发现向这六家机器人制造商发出了警告,而且也得到了全球媒体的报道。但事实是,并不是所有的漏洞都得到了修复,这就使得IOActive公司最新开发的概念验证攻击能够在这些机器人身上实施。

  IOActive公司的安全研究员Cesar Cerrudo和Lucas Apa在上周五发表了一篇博客文章,用来阐述他们如何通过利用一个漏洞在NAO机器人上部署勒索攻击。

  由日本软银机器人公司和法国Aldebaran Robotics 公司共同研发的NAO机器人被认为是在学术领域世界范围内运用最广泛的类人机器人,具备有一定程度的人工智能和一定程度的情感智商,并能够和人类亲切的互动。

  研究人员指出,为了在NAO机器人上部署勒索攻击,一个未修复的远程命令执行漏洞将会被用到。整个概念验证攻击过程涉及利用此漏洞来感染文件,以修改默认操作、禁用管理功能以及监视视频和音频。此外,攻击者可以提升权限、更改SSH设置和root密码、中断工厂重置机制以及与命令与控制服务器通信。

  根据研究人员的说法,NAO机器人的所有行为都是通过预设的。xar行为文件执行的。而这些。xar行为文件包含了嵌入式Python类的特殊XML文件,这使得能够通过将自定义的Python代码注入到其中,以改变机器人的最终行为。

  在IOActive公司发布的演示视频中,Cesar Cerrudo和Lucas Apa成功更改了NAO机器人的输出语言,让它彻底成为了一名“劫匪”。视频中遭到控制的NAO机器人会反复说“我遭到黑客入侵,我需要比特币!”、“我爱比特币!现在就给我比特币或准备死亡!”。

  研究人员还表示,虽然他们仅针对NAO机器人进行了测试。但他们相信这种攻击还适用于软银机器人公司生产的其他机器人,比如在全球范围内被广泛使用的商业机器人Pepper。因为,Pepper与NAO具有几乎相同的操作系统和安全漏洞。

  IOActive公司表示,无论是Pepper还是NAO,或者其他机器人。他们都拥有两个共同的特性:一是价格昂贵,二是维修困难。通常,当机器人发生故障时,用户需要其退回制造商或聘请技术人员进行维修。

  对于企业或者工厂来说,它们每一秒种都会因为一台机器人无法工作而遭受损失。攻击者完全可以通过IOActive公司开发的概念验证攻击锁定某些关键机器人,而无需对任何数据进行加密,就能够直接要求这些企业或工厂支付赎金。