机器人也饱受安全漏洞折磨

多家厂商机器人软件组件中发现基础安全漏洞

对家用、商用、工业用机器人的一份分析报告,暴露出该领域存在多个与IoT设备常见漏洞相似的基本安全弱点,引发对人类安全影响的思考。

机器人行业在近些年得到了长足发展,而且发展脚步在未来只会进一步加快。机器人可充当多种角色,从家务、购物、医护助手,到在工厂里从事生产,甚至处理安全和执法任务。

“把机器人想成有胳膊有腿带轮子的计算机,它们就是移动的IoT设备,一旦被黑,是有可能产生我们前所未见的严重威胁的。”网络安全咨询公司IOActive在一份新报告( http://www.ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf )中说道。

随着人机交互的发展,新攻击方法浮出水面,威胁场景开始扩张。机械手足、外围设备和人类信任,扩展了网络安全问题可被利用来造成伤害、破坏财物,甚或形成杀伤的领域。

该研究由IOActive首席技术官凯撒·塞鲁多和高级安全顾问卢卡斯·阿帕领衔,涉及对多家厂商生产的家用、商业、工业机器人所用的移动应用、操作系统、固件镜像和其他软件的分析。

被测试了软件组件的机器人包括:软银机器人公司的NAO和Pepper人形机器人,UBTECH机器人公司的 Alpha 1S 和 Alpha 2,ROBOTIS公司的 ROBOTIS OP2 和 THORMANG3,优傲机器人公司的UR3、UR5和UR10,Rethink Robotics 公司的Baxter和Sawyer,以及采用了Asratec公司V-Sido机器人控制技术的多种机器人。

研究人员发现,大多数机器人使用了不安全通信,有身份验证问题,缺乏授权机制,采用弱加密,暴露隐私信息,默认采用弱配置,且是用脆弱开源框架和库打造而成。

虽然不是每种机器人都有上述全部问题,但基本都存在其中几种毛病。这也让研究人员推测,没有包括在本次评估中的其他机器人,应该也是问题多多的。

有些机器人可用移动应用控制,或用安装在电脑上的软件进行编程。其他机器人通过云服务来接收软件更新和应用安装。

如果各种不同组件间的通信信道是不安全的非加密信道,攻击者便可以发起中间人攻击,注入恶意指令或软件更新,让机器人执行恶意代码。

而且,被测试的很多机器人固件和操作系统都有远程访问服务供操作不同功能。访问其中一些甚至不需要任何身份验证。有些服务需要身份验证,但使用的是可被轻易绕过的弱机制。

“这是我们发现的问题中最严重的一个,可致任何人都能轻易远程黑了机器人。”

有些机器人没有加密存储的口令、密钥、第三方服务凭证和其他敏感数据。其他尝试用加密保护数据,但用的是没有恰当实现的加密体制。

很多随附的移动App会不经用户同意就向远程服务发送网络、设备、GPS位置等敏感信息,有些机器人的默认配置还包含有不能被禁用的不安全功能,或者不能被修改的默认口令。

一些身份验证、授权和不安全通信问题,是机器人开发商共享的开源软件框架、库和操作系统漏洞的结果。其中一个案例就是机器人操作系统(ROS)——多家机器人厂商采用的流行OS。

另一个问题是,很多案例中,机器人从原型机到商用产品之间的过渡太快了,都没有经过任何网络安全审计和添加额外的防护。

机器人被黑的后果,与IoT设备或计算机被黑类似:通过麦克风或摄像头进行监视,在内网中建立桥头堡以发动其他攻击,暴露个人数据和第三方服务凭证。然而,由于机器人的移动性,它们还能造成其他危险后果。

在家里,被黑机器人可被用来通过突然的移动毁坏物体,撞伤人。它们还可以有意引发火灾,开门,关闭防盗警报等等。商用环境中的机器人若是被黑,也可引发同样的问题。

工业机器人则更加危险,因为它们更大更强力。它们可以轻易杀死人类,而且已经有工业机器人误操作致人死亡的案例了。

我们的研究揭露的很多网络安全问题,本可以通过实现众所周知的网络安全实践来预防的。我们发现可用多种方式黑了这些机器人,我们做了大量工作来理解此类威胁,给它们划分优先级,供受影响厂商修复缓解所用。研究结果让我们证实了之前的想法:是时候让所有机器人厂商立即采取行动保卫它们的技术了。

该研究揭示:直到现在,机器人厂商依然将推出产品置于保证安全之上。其他行业也是如此,比如已经成为安全大泥潭的物联网。

如果网络安全没有在产品生命周期之初就纳入考虑,在投放市场之后才进行漏洞修复就更复杂也更昂贵得多了。

“幸运的是,因为机器人的采用尚未成为主流,现在还有时间来改进技术,让它们更安全。”

本文转自d1net(转载)

时间: 2024-10-24 16:18:29

机器人也饱受安全漏洞折磨的相关文章

机器人也上云-创业团队的阿里云实践心得

本文正在参加"最佳上云实践"评选,来给我们投票吧:https://yq.aliyun.com/activity/158(编号11) 机器人也上云 想到机器人,相信很多人会联想到斯瓦辛格主演的<终结者>系列电影.那部系列片里描绘了完全存在于云端的人工智能"SkyNet".从科幻小说,到科幻电影,到真正的科技实践中,云计算都是解决包括人工智能在内的机器人相关技术的关键和基础. 我们是一个负责实施机器人 Pepper 本地化的创业小团队,我们选择阿里云全面部署

机器人也玩切绳子?英特尔开发的Oculus机器人,通过玩触屏游戏来测试设备响应速度

英特尔硅谷总部一个狭小的实验室里,名叫 Oculus 的机器人正在智能手机上玩儿 Cut the Rope 游戏.通过两个手指的橡胶末端和测微器的精确定位,它干净利落地在屏幕上完成点触和滑动并获得了不错的分数.这和 Oculus 的设计初衷比起来,进步了可不止一星半点啊,最初只是为了在芯片工厂里做些移动硅晶片的无聊工作而已,而现在,则为了测试触感和交互行为是否体现出人们对屏幕后的内容的喜恶.Oculus 通过目标对它触摸屏幕的反应来分析.用 Red 提供高速摄影机来监控,它配备每秒 300 帧画

机器人也能做酒保,Somabar五秒调制鸡尾酒

Somabar是一个有Wi-Fi功能的鸡尾酒调制设备,你在配套的手机应用上选择定制的鸡尾酒类别后,它能在5秒内调制出来,这免去了不少麻烦. 发明者Dylan Purcell-Lowe表示:"之所以做这么个设备,是因为在酒吧总要等很长时间才能调制出来,而在家做鸡尾酒又困难重重."于是,在2011年他与公司现在的CTO Ammar Jangbarwala一起,开始想着如何做一个"世界上第一台应用控制的自动化酒保设备". 接下来的三年,他们俩像一般的企业家那样,在自家车库

2013苹果新品发布会安卓机器人也来凑热闹

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   北京时间2013年10月23日凌晨1点,苹果新品发布会正式开始了,不过一个小插曲却吸引了众多眼球,在苹果发布会现场外惊现安卓机器人,众所周知苹果的iOS与安卓可是老对手了,这两位安卓机器人的到来估计是有人恶搞苹果,给苹果发布会添乱,不过好在随后安卓机器人被现场工作人员请出去了.

Bash漏洞那些事儿

英文原文链接,译文链接,原文作者:Troy Hunt ,译者:有孚 还记得Heartbleed漏洞吗?如果你相信今天这个铺天盖地的传言,那说明Shellshock和它是一类的,它的名字也同样令人畏惧(弹震症,一种精神疾病),就是缺了个酷点的LOGO而已(这些漏洞的市场部的人需要加把劲了).不过认真来讲,它还是有可能成为一个大麻烦的,正如上次heartbleed漏洞中我所做的那样,我希望能汇总出一些资料,这样对我自己来说,我能知道如何去解决这个问题,也让别人能在各种传闻里真正认识到它潜在的风险.

CAAI演讲实录丨李德毅院士:交互认知——从图灵测试的漏洞谈开去

8月26日至27日,在中国科学技术协会.中国科学院的指导下,由中国人工智能学会发起主办.中科院自动化研究所与CSDN共同承办的2016中国人工智能大会(CCAI 2016)在北京辽宁大厦盛大召开,这也是本年度国内人工智能领域规模最大.规格最高的学术和技术盛会,对于我国人工智能领域的研究及应用发展有着极大的推进作用. 27日上午的第一个主题报告,是中国工程院院士.中国人工智能学会理事长李德毅的<交互认知--从图灵测试的漏洞谈开去>.李德毅院士首先从图灵测试在面对自闭症的情形.手机交互认知.教育的

手术不再需要人类医生只是时间问题?这个STAR机器人正在让预言成真

曾经,说到机器人就会联想起它们冰冷机械零件堆砌出的外表,生硬的机器语言,受人类操控为人类服务;现如今,人工智能等技术赋予机器人以"个性",一个个形态万千,功能迥异的机器人出现在了人们的日常生活中. 本文将聚焦医疗机器人领域,美国著名肿瘤外科专家.虚拟手术创始人Dr. Shafi Ahmed曾表示:"手术机器人替代外科医生只是个时间问题,未来外科手术室里不会再有一群医生从早到晚有做不完的手术了." 你知道么?早在1985年,美国人就尝试用Puma560工业机器人辅助进

机器爱人即将一统江湖,谁还稀罕过什么情人节

Valentine's Day,原本只是西方基督教搞的那一套,后来逐渐为文化和商业活动裹挟,推广到全球很多地区.这一天,在中国被翻译为:情人节.然而无论是中国,还是西方哪一个国家,情人节都不是公共节假日. 但还是得过. 节是一样的节,过法却各有不同.或者是一群人的狂欢,或者是一个人的孤单:有人和人一起过,有人和机器人一起过. Lilly和她的机器爱人 真的.法国一位名叫Lilly的女生前不久刚刚订婚,而她的未婚夫是一个机器人.Lilly说她从小就喜欢机器人的声音,直到19岁她终于意识到人形机器人

Red Hat JBoss多平台Karaf远程代码执行漏洞 CVE-2016-8648

2016年11月25日(当地时间),bugzilla.redhat.com对编号为CVE-2016-8648的漏洞信息进行了更新.该漏洞存在于红帽Red Hat JBoss Fuse和Red Hat JBoss A-MQ所使用的Karaf包中,漏洞发生于通过JMX操作向MBeans传递的对象被反序列化的过程中.一个远程攻击者可在运行JAVA虚拟机且在MBean的类路径中包含反序列化组件的机器上利用该漏洞,从而造成远程代码执行.     相关链接地址如下: https://bugzilla.red