根据斯堪的纳维亚研究人员(Scandinavian Researcher)本月早些时候发表的研究报告,软银广受欢迎的机器人Pepper有着无数的安全漏洞。
该机器人程序会允许未经身份验证的根级别访问,运行一个存在Meltdown / Spectre漏洞的处理器,同时可以通过未加密的HTTP进行管理,并具有一个默认的根密码(root password)。来自瑞典厄勒布鲁大学(Örebro University)的Alberto Giaretta以及瑞典技术大学(Technical University of Sweden)的Michele De Donno和Nicola Drgoni的研究人员认为,虽然机器人有各种各样的一次性特技,但他们并没有意识到对Pepper的安全进行任何系统评估。
他们的研究发现,“远程将其转化为‘网络和物理武器’,暴露恶意行为是一件轻而易举的事”。
一份令人遗憾的计算机安全隐患名单
Meltdown / Spectre安全漏洞可以被简单地识别出来,因为它们所需要的只是一个Uname——一个终端命令。而一些Ettercap和Wireshark的工作显示,管理页面是不安全的,它会将用户帐户的一对登录名/密码暴露出来,这被称为nao。
Pepper机器人似乎可以通过限制SSH对nao的访问来实现某种安全性,而不是允许根用户进行SSH访问,但由于根帐户的密码是root过的(不可更改,并在用户手册中进行记录),nao终端的超级用户命令便为攻击者提供了完全权限。
当然,在管理面板中也不存在“注销”功能。
“作为一个附带说明,我们坚信,到2018年,销售此类容易受到攻击的产品是不可容忍的,”研究人员表示。此外,它们还发现机器人很容易受到暴力攻击。
这很可能会成功,因为软银的工程师并没有提供任何保护措施,以防止攻击者通过不受限制的密码攻击Pepper:“Pepper本身没有部署任何对待暴力攻击的对策,这再次成为了一个不可容忍并令人失望的发现。”
研究人员的下一个发现是Pepper上的一个名为“简单动画消息”(SAM)的应用程序,它可以允许用户“设计一个简单的编排,让Pepper移动,并通过文本到语音的服务进行说明,之后在其平板电脑上显示一幅图“。
或许,你已经猜到接下来会发生什么了:“应用程序无法控制文件扩展名。事实上,我们能上传图片,扩展名已修改为图片的文本文件,甚至上传无需执行扩展名编辑的纯文本文件。”
所以,他们决定不建立一个概念验证,但相信这对攻击者来说很容易被利用。
然后是Pepper API,它通过Python,C ++和Java等语言公开其功能,提供对所有传感器,摄像头,麦克风和移动部件的访问,其不安全成都“令人惊讶”。
“Pepper在端口9559上公开了一个服务,接受TCP消息并作出相应的反应。只要消息符合API,逐条设计,Pepper就会接受来自发送者的数据包“——无需身份验证。
能够通过TCP与Pepper进行通信的攻击者可以使用摄像头和麦克风来对用户及其日常对话进行监听;也可以与人进行远程互动(比如,欺骗他们提供个人信息);或者把Papper培训为一个攻击机器人以及发送关机/工厂重置的命令等等。
閱讀更多 雲有料 的文章
