安全公司IOActive开发的概念验证攻击能让智能机器人“黑化”

“用指尖改变世界”

在去年,美国网络安全公司IOActive对市面上在售的10款智能机器人进行了安全测试,并从这些机器人身上发现了近50个安全漏洞。漏洞使得攻击者能够获得机器人的完全控制权限,通过机器人的麦克风和摄像头进行间谍活动、窃取用户个人数据,甚至造成直接的人身伤害。

根据相关报道显示,这些机器人主要来自六家制造商,它们分别是美国Rethink Robotics公司、丹麦优傲机器人公司(Universal Robots)、日本软银机器人公司(SoftBank Robotics)、日本Asratec公司和中国优必选(UBTECH)机器人公司和韩国Robotis公司

虽然,IOActive公司已经就他们的发现向这六家机器人制造商发出了警告,而且也得到了全球媒体的报道。但事实是,并不是所有的漏洞都得到了修复,这就使得IOActive公司最新开发的概念验证攻击能够在这些机器人身上实施。

IOActive公司的安全研究员Cesar Cerrudo和Lucas Apa在上周五发表了一篇博客文章,用来阐述他们如何通过利用一个漏洞在NAO机器人上部署勒索攻击

由日本软银机器人公司和法国Aldebaran Robotics 公司共同研发的NAO机器人被认为是在学术领域世界范围内运用最广泛的类人机器人,具备有一定程度的人工智能和一定程度的情感智商,并能够和人类亲切的互动。

研究人员指出,为了在NAO机器人上部署勒索攻击,一个未修复的远程命令执行漏洞将会被用到。整个概念验证攻击过程涉及利用此漏洞来感染文件,以修改默认操作、禁用管理功能以及监视视频和音频。此外,攻击者可以提升权限、更改SSH设置和root密码、中断工厂重置机制以及与命令与控制服务器通信

根据研究人员的说法,NAO机器人的所有行为都是通过预设的.xar行为文件执行的。而这些.xar行为文件包含了嵌入式Python类的特殊XML文件,这使得能够通过将自定义的Python代码注入到其中,以改变机器人的最终行为

在IOActive公司发布的演示视频中,Cesar Cerrudo和Lucas Apa成功更改了NAO机器人的输出语言,让它彻底成为了一名“劫匪”。视频中遭到控制的NAO机器人会反复说“我遭到黑客入侵,我需要比特币!”、“我爱比特币!现在就给我比特币或准备死亡!”。

研究人员还表示,虽然他们仅针对NAO机器人进行了测试。但他们相信这种攻击还适用于软银机器人公司生产的其他机器人,比如在全球范围内被广泛使用的商业机器人Pepper。因为,Pepper与NAO具有几乎相同的操作系统和安全漏洞

IOActive公司表示,无论是Pepper还是NAO,或者其他机器人。他们都拥有两个共同的特性:一是价格昂贵,二是维修困难。通常,当机器人发生故障时,用户需要将其退回制造商或聘请技术人员进行维修

对于企业或者工厂来说,它们每一秒种都会因为一台机器人无法工作而遭受损失。攻击者完全可以通过IOActive公司开发的概念验证攻击锁定某些关键机器人,而无需对任何数据进行加密,就能够直接要求这些企业或工厂支付赎金

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180313B0DF1Q00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券