安全公司IOActive开发的概念验证攻击能让智能机器人“黑化”

　　在去年，美国网络安全公司IOActive对市面上在售的10款智能机器人进行了安全测试，并从这些机器人身上发现了近50个安全漏洞。漏洞使得攻击者能够获得机器人的完全控制权限，通过机器人的麦克风和摄像头进行间谍活动、窃取用户个人数据，甚至造成直接的人身伤害。

　　根据相关报道显示，这些机器人主要来自六家制造商，它们分别是美国Rethink Robotics公司、丹麦优傲机器人公司（Universal Robots）、日本软银机器人公司（SoftBank Robotics）、日本Asratec公司和中国优必选（UBTECH）机器人公司和韩国Robotis公司。

　　虽然，IOActive公司已经就他们的发现向这六家机器人制造商发出了警告，而且也得到了全球媒体的报道。但事实是，并不是所有的漏洞都得到了修复，这就使得IOActive公司最新开发的概念验证攻击能够在这些机器人身上实施。

　　IOActive公司的安全研究员Cesar Cerrudo和Lucas Apa在上周五发表了一篇博客文章，用来阐述他们如何通过利用一个漏洞在NAO机器人上部署勒索攻击。

　　由日本软银机器人公司和法国Aldebaran Robotics 公司共同研发的NAO机器人被认为是在学术领域世界范围内运用最广泛的类人机器人，具备有一定程度的人工智能和一定程度的情感智商，并能够和人类亲切的互动。

　　研究人员指出，为了在NAO机器人上部署勒索攻击，一个未修复的远程命令执行漏洞将会被用到。整个概念验证攻击过程涉及利用此漏洞来感染文件，以修改默认操作、禁用管理功能以及监视视频和音频。此外，攻击者可以提升权限、更改SSH设置和root密码、中断工厂重置机制以及与命令与控制服务器通信。

　　根据研究人员的说法，NAO机器人的所有行为都是通过预设的。xar行为文件执行的。而这些。xar行为文件包含了嵌入式Python类的特殊XML文件，这使得能够通过将自定义的Python代码注入到其中，以改变机器人的最终行为。

　　在IOActive公司发布的演示视频中，Cesar Cerrudo和Lucas Apa成功更改了NAO机器人的输出语言，让它彻底成为了一名“劫匪”。视频中遭到控制的NAO机器人会反复说“我遭到黑客入侵，我需要比特币！”、“我爱比特币！现在就给我比特币或准备死亡！”。

　　研究人员还表示，虽然他们仅针对NAO机器人进行了测试。但他们相信这种攻击还适用于软银机器人公司生产的其他机器人，比如在全球范围内被广泛使用的商业机器人Pepper。因为，Pepper与NAO具有几乎相同的操作系统和安全漏洞。

　　IOActive公司表示，无论是Pepper还是NAO，或者其他机器人。他们都拥有两个共同的特性：一是价格昂贵，二是维修困难。通常，当机器人发生故障时，用户需要其退回制造商或聘请技术人员进行维修。

　　对于企业或者工厂来说，它们每一秒种都会因为一台机器人无法工作而遭受损失。攻击者完全可以通过IOActive公司开发的概念验证攻击锁定某些关键机器人，而无需对任何数据进行加密，就能够直接要求这些企业或工厂支付赎金。