安全公司IOActive開發的概念驗證攻擊能讓智能機器人「黑化」

「用指尖改變世界」

在去年，美國網路安全公司IOActive對市面上在售的10款智能機器人進行了安全測試，並從這些機器人身上發現了近50個安全漏洞。漏洞使得攻擊者能夠獲得機器人的完全控制許可權，通過機器人的麥克風和攝像頭進行間諜活動、竊取用戶個人數據，甚至造成直接的人身傷害。

根據相關報道顯示，這些機器人主要來自六家製造商，它們分別是美國Rethink Robotics公司、丹麥優傲機器人公司(Universal Robots)、日本軟銀機器人公司(SoftBank Robotics)、日本Asratec公司和中國優必選(UBTECH)機器人公司和韓國Robotis公司。

雖然，IOActive公司已經就他們的發現向這六家機器人製造商發出了警告，而且也得到了全球媒體的報道。但事實是，並不是所有的漏洞都得到了修復，這就使得IOActive公司最新開發的概念驗證攻擊能夠在這些機器人身上實施。

IOActive公司的安全研究員Cesar Cerrudo和Lucas Apa在上周五發表了一篇博客文章，用來闡述他們如何通過利用一個漏洞在NAO機器人上部署勒索攻擊。

由日本軟銀機器人公司和法國Aldebaran Robotics 公司共同研發的NAO機器人被認為是在學術領域世界範圍內運用最廣泛的類人機器人，具備有一定程度的人工智慧和一定程度的情感智商，並能夠和人類親切的互動。

研究人員指出，為了在NAO機器人上部署勒索攻擊，一個未修復的遠程命令執行漏洞將會被用到。整個概念驗證攻擊過程涉及利用此漏洞來感染文件，以修改默認操作、禁用管理功能以及監視視頻和音頻。此外，攻擊者可以提升許可權、更改SSH設置和root密碼、中斷工廠重置機制以及與命令與控制伺服器通信。

根據研究人員的說法，NAO機器人的所有行為都是通過預設的.xar行為文件執行的。而這些.xar行為文件包含了嵌入式Python類的特殊XML文件，這使得能夠通過將自定義的Python代碼注入到其中，以改變機器人的最終行為。

在IOActive公司發布的演示視頻中，Cesar Cerrudo和Lucas Apa成功更改了NAO機器人的輸出語言，讓它徹底成為了一名「劫匪」。視頻中遭到控制的NAO機器人會反覆說「我遭到黑客入侵，我需要比特幣!」、「我愛比特幣!現在就給我比特幣或準備死亡!」。

研究人員還表示，雖然他們僅針對NAO機器人進行了測試。但他們相信這種攻擊還適用於軟銀機器人公司生產的其他機器人，比如在全球範圍內被廣泛使用的商業機器人Pepper。因為，Pepper與NAO具有幾乎相同的操作系統和安全漏洞。

IOActive公司表示，無論是Pepper還是NAO，或者其他機器人。他們都擁有兩個共同的特性：一是價格昂貴，二是維修困難。通常，當機器人發生故障時，用戶需要將其退回製造商或聘請技術人員進行維修。

對於企業或者工廠來說，它們每一秒種都會因為一台機器人無法工作而遭受損失。攻擊者完全可以通過IOActive公司開發的概念驗證攻擊鎖定某些關鍵機器人，而無需對任何數據進行加密，就能夠直接要求這些企業或工廠支付贖金。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！