机器人也饱受安全漏洞折磨

作者: 李少鹏 2017-03-06 14:48:58

 

对家用、商用、工业用机器人的一份分析报告,暴露出该领域存在多个与IoT设备常见漏洞相似的基本安全弱点,引发对人类安全影响的思考。

机器人行业在近些年得到了长足发展,而且发展脚步在未来只会进一步加快。机器人可充当多种角色,从家务、购物、医护助手,到在工厂里从事生产,甚至处理安全和执法任务。

“把机器人想成有胳膊有腿带轮子的计算机,它们就是移动的IoT设备,一旦被黑,是有可能产生我们前所未见的严重威胁的。”网络安全咨询公司IOActive在一份新报告( https://www.ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf )中说道。

“随着人机交互的发展,新攻击方法浮出水面,威胁场景开始扩张。机械手足、外围设备和人类信任,扩展了网络安全问题可被利用来造成伤害、破坏财物,甚或形成杀伤的领域。

该研究由IOActive首席技术官凯撒·塞鲁多和高级安全顾问卢卡斯·阿帕领衔,涉及对多家厂商生产的家用、商业、工业机器人所用的移动应用、操作系统、固件镜像和其他软件的分析。

被测试了软件组件的机器人包括:软银机器人公司的NAO和Pepper人形机器人,UBTECH机器人公司的 Alpha 1S 和 Alpha 2,ROBOTIS公司的 ROBOTIS OP2 和 THORMANG3,优傲机器人公司的UR3、UR5和UR10,Rethink Robotics 公司的Baxter和Sawyer,以及采用了Asratec公司V-Sido机器人控制技术的多种机器人。

研究人员发现,大多数机器人使用了不安全通信,有身份验证问题,缺乏授权机制,采用弱加密,暴露隐私信息,默认采用弱配置,且是用脆弱开源框架和库打造而成。

虽然不是每种机器人都有上述全部问题,但基本都存在其中几种毛病。这也让研究人员推测,没有包括在本次评估中的其他机器人,应该也是问题多多的。

有些机器人可用移动应用控制,或用安装在电脑上的软件进行编程。其他机器人通过云服务来接收软件更新和应用安装。

如果各种不同组件间的通信信道是不安全的非加密信道,攻击者便可以发起中间人攻击,注入恶意指令或软件更新,让机器人执行恶意代码。

而且,被测试的很多机器人固件和操作系统都有远程访问服务供操作不同功能。访问其中一些甚至不需要任何身份验证。有些服务需要身份验证,但使用的是可被轻易绕过的弱机制。

“这是我们发现的问题中最严重的一个,可致任何人都能轻易远程黑了机器人。”

有些机器人没有加密存储的口令、密钥、第三方服务凭证和其他敏感数据。其他尝试用加密保护数据,但用的是没有恰当实现的加密体制。

很多随附的移动App会不经用户同意就向远程服务发送网络、设备、GPS位置等敏感信息,有些机器人的默认配置还包含有不能被禁用的不安全功能,或者不能被修改的默认口令。

一些身份验证、授权和不安全通信问题,是机器人开发商共享的开源软件框架、库和操作系统漏洞的结果。其中一个案例就是机器人操作系统(ROS)——多家机器人厂商采用的流行OS。

另一个问题是,很多案例中,机器人从原型机到商用产品之间的过渡太快了,都没有经过任何网络安全审计和添加额外的防护。

机器人被黑的后果,与IoT设备或计算机被黑类似:通过麦克风或摄像头进行监视,在内网中建立桥头堡以发动其他攻击,暴露个人数据和第三方服务凭证。然而,由于机器人的移动性,它们还能造成其他危险后果。

在家里,被黑机器人可被用来通过突然的移动毁坏物体,撞伤人。它们还可以有意引发火灾,开门,关闭防盗警报等等。商用环境中的机器人若是被黑,也可引发同样的问题。

工业机器人则更加危险,因为它们更大更强力。它们可以轻易杀死人类,而且已经有工业机器人误操作致人死亡的案例了。

“我们的研究揭露的很多网络安全问题,本可以通过实现众所周知的网络安全实践来预防的。我们发现可用多种方式黑了这些机器人,我们做了大量工作来理解此类威胁,给它们划分优先级,供受影响厂商修复缓解所用。研究结果让我们证实了之前的想法:是时候让所有机器人厂商立即采取行动保卫它们的技术了。

该研究揭示:直到现在,机器人厂商依然将推出产品置于保证安全之上。其他行业也是如此,比如已经成为安全大泥潭的物联网。

如果网络安全没有在产品生命周期之初就纳入考虑,在投放市场之后才进行漏洞修复就更复杂也更昂贵得多了。

“幸运的是,因为机器人的采用尚未成为主流,现在还有时间来改进技术,让它们更安全。”

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

机器人 安全 漏洞
上一篇:深度解读大规模深度学习工具的当前趋势 下一篇:从PyTorch到Mxnet ,对比7大Python深度学习框架
评论
取消
暂无评论,快去成为第一个评论的人吧

更多资讯推荐

11个主流AI聊天机器人平台,你绝不能错过 精选

人工智能聊天机器人掀起了一场用户体验革命。只要用户需要,机器人就能提供有用的信息。一些企业应用AI聊天机器人为客户提供积极有益的帮助,企业也因此得到了长足的发展。

读芯术 ·  18h前
人工智能统计调查:86%的消费者更喜欢人工客服 精选

美国消费者越来越不愿意与聊天机器人聊天,人们对人工智能作为关键业务组成部分的期望越来越高,由于部署这项新技术导致员工技能差距越来越大。

佚名 ·  3天前
人工智能在情绪方面更智能了?人类也应如此

人们处于孤独中的行为方式与在公共场合的行为方式大相径庭,但人的基本性格仍然会保持不变。在没有观众的情况下在公寓里跳舞,表达了一种想在大舞台上跳舞的秘密愿望,但是人类会根据社会规范的要求调整这些突发奇想。

读芯术 ·  2019-10-09 11:36:11
波士顿动力双足机器人Atlas放出逆天体操表演,网友:可怕

这次是双足机器人Atlas,继表演跑酷、后空翻等绝技之后,刚刚Atlas又放出一段逆天的技能展示:全程高能的机器人体操。

问耕 ·  2019-09-25 09:53:45
机器人代替人类只是时间问题,这些职业最早消失

智能时代的到来,科技生活席卷了整个家居系统,各种智能的产品让人们惊呼神奇的同时,也越加感叹科技的魅力,刷牙不用手动了、扫地不用扫帚了,人们不禁在想是不是以后工作也会被机器人所代替呢?不用着急,科技的发展真的有可能实现,下面笔者就告诉你,未来将会被机器人代替的职业。

中关村在线 ·  2019-09-19 16:32:02
我国自研操作系统micROS问世!这个机器人的“心脑”不简单

中国科学院院士杨学军介绍了我国自主研发的机器人新型操作系统micROS的最新情况。

佚名 ·  2019-09-11 10:23:24
有关人工智能必知的基础知识,都在这里了

如果要列举一项彻底改变了21世纪的技术,非人工智能莫属。人工智能已经成为我们日常生活的一部分,这篇文章将帮助读者了解人工智能的不同阶段和类别。

读芯术 ·  2019-09-10 13:38:56
自动驾驶难过安全大关 车企、供应商与监管层应强化合作

总体来看,车企关注自动驾驶安全和成本,供应商关心产品落地场景和盈利,监管层希望通过自动驾驶来提升交通出行效率,这些因素汇聚在一起时,如何平衡各方利益点至关重要。

张祥威 ·  2019-09-09 16:41:15
Copyright©2005-2019 51CTO.COM 版权所有 未经许可 请勿转载