IOActive说,一些最受欢迎的工业和消费者机器人很容易入侵,可以变成窃听设备或武器。
这家总部位于西雅图的网络安全公司发现美国科技公司Teradyne旗下的Universal Robots公司出售的工业模型存在重大安全漏洞。它还引用了由日本软银集团生产的消费者机器人Pepper和NAO 以及由中国的UBTech Robotics制造的Alpha 1和Alpha 2的问题。
研究人员在周二发布的一份报告中写道,这些漏洞可能会让机器人变成监视设备,暗中监视他们的主人,或让他们被劫持并用来伤害人身或破坏财产。
与其他许多工业模型一样,Universal Robots的设备可以直接与人类一起工作,而不会被限制在笼子中以保证安全。但IOActive能够远程破解控制机器人的软件并禁用关键安全功能。这可能导致他们被编程为伤害周围的人。
IOActive说,这尤其令人担忧,因为这些机器足够大并且具有足够的功率,“即使在低速运行时,它们的力量也足以导致颅骨骨折。”
随着用于家庭使用的机器人 - 软银的Pepper和NAO - IOActive发现网络攻击者可以使用它们来录制音频和视频,并秘密地将这些数据传输到外部服务器。IOActive说,UBTech的Alpha系列家用机器人在存储或传输之前没有对他们捕获的敏感信息进行加密,这为网络犯罪分子开辟了可能窃取重要个人信息的途径。
与Universal Robots机器一样,这些家用机器人也可以进行物理攻击。虽然它们比Universal Robots的工业模型强大得多,但是IOActive发布了一个测试视频,其中一个可爱的NAO机器人突然开始以邪恶和疯狂的方式笑,并用螺丝刀反复刺伤番茄。虽然视频显然是幽默的,但IOActive的研究人员表示它有一个严肃的意图:可以想象机器人可能会对婴儿,幼儿或宠物发动类似的攻击。
“如果我们了解这些漏洞,很可能我们不是唯一的漏洞,”IOActive的首席安全顾问Lucas Apa在一封电子邮件中写道。
Universal Robots发言人Thomas Stensbol表示,该公司了解IOActive的报道。“我们一直致力于为客户提供产品改进和工业强化服务,”他在一封电子邮件声明中写道。“这包括监控任何潜在的漏洞,而不仅仅是网络安全。” 他说公司的产品“经过了严格的安全认证”。
SoftBank发言人Vincent Samuel表示,该公司将对IOActive的报告做出回应,但截至记者发稿时尚未这样做。UBTech没有回应对IOActive的调查结果发表评论的请求。
Apa表示,SoftBank曾告诉IOActive,它计划发布补丁以解决研究人员发现的安全漏洞,但尚未发布任何补救措施。
IOActive发布了一份初步报告,强调了3月份的许多漏洞,但隐瞒了用于入侵控制机器人的软件的具体技术,以便让制造商有时间修复漏洞。周二,这家网络安全公司公开了黑客的技术细节。
“我们在1月份联系了所有供应商,但令人遗憾的是,我们所展示的50多个漏洞已被修复,”Apa说。“当我们私下联系他们时,大多数供应商都没有来,所以上市是我们唯一可用的选择。”
Apa表示,其目的是让公众了解风险,并促使制造商解决安全漏洞。
他说,IOActive希望强调机器人公司在设计过程的每个阶段都需要考虑网络安全。“这些都是机器人行业的早期阶段,但随着它的发展,我们希望确保它拥有更加安全的未来,”他说。
