海量安全漏洞！软银Pepper机器人可能在窃听、诈骗、袭击你

郭一璞 发自 凹非寺 量子位 报道 | 公众号 QbitAI

把硬件设备的root密码设置为“root”这四个字母，是不是非常搞笑了？

真有人这么干，而且是大名鼎鼎的软银集团。

据The Register报道，瑞典的研究人员发现，软银三年前就开卖的Pepper机器人root密码被简单粗暴的设置为了R-O-O-T四个字母，标注在了用户手册里，并且直接被写死了，用户无法修改密码，但黑客可以大摇大摆的用这个密码黑进来，然后控制机器人。

当然，黑客要想完全操控机器人离不开其他部件的“配合”。

而软银在软硬件方面的设置刚好非常“配合”：

Pepper的处理器有问题，只需要uname -a终端命令操控；顺便提一下Pepper的处理器是2013年英特尔Atom E3845驱动，在今年年初被爆出了Meltdown/Spectre漏洞。

Pepper机器人的API接口可访问传感器、摄像头、麦克风和移动部件，具体功能用Python，C ++和Java写的很清楚；同时软银没有部署任何应对强行攻击的措施，Pepper在接受TCP消息的端口9559上公开服务并作出相应反应，只要信息符合API，Pepper就接受来自发送者的数据包，并且不需要身份验证。

Pepper机器人还可通过未加密HTTP进行管理，对于这一点，发现问题的研究人员感到软银拉低了整个CS界的智商：

“我们坚信，在2018年，销售如此易遭此类攻击的产品简直不能忍。通过未加密的通信渠道进行身份验证，这是软件开发人员能犯的最严重的错误之一，计算机本科生都知道应该避免这种错误，但让人遗憾的是，这个问题竟然出现在了售卖中的商业产品上。”

除了这些安全问题，研究人员还发现了Pepper的其他bug：

比如控制机器人行走的应用程序Simple Animated Messages (SAM)，它可以实现设计一个简单的编排，让Pepper能够移动；以及通过文本到语音服务进行说明，显示到机器人身上的屏幕上。

然而这个程序无法控制扩展名，甚至用户可以上传图片格式的文本——你能想象把一个.txt改成.jpg或者.png上传执行么？

黑客控制Pepper，祸起萧墙

普通的黑客操控计算机系统，可以控制软件，但是Pepper不一样，它开始一个有手有脚、有眼有耳的机器人。

如果黑客控制了Pepper，可能会偷窥你的生活，监视你的隐私，甚至欺骗你说出支付宝的密码。

最可怕的是，你不知道黑客会不会控制Pepper的手脚对你发动物理攻击，被机器人拿刀架在脖子上可不是什么美好的体验。