新闻快讯
< >

智能机器人攻击来了!要么给比特币,要么偿命!

E安全3月14日讯 机器人现如今作为玩具、陪伴者、客户助理、医疗服务人员等走进家庭、教育中心、企业以及工业工厂。网络安全公司 IOActive 2017年对市面上多款智能机器人进行安全测试后发现50多项漏洞。

多家厂商的智能机器人存在安全漏洞

网络安全公司 IOActive 2017年对市面上十多款智能机器人进行了安全测试,这些机器人来自多家知名制造商,包括日本软银机器人公司(SoftBank Robotics)、中国优必选机器人公司(UBTECH Robotics)、韩国 ROBOTIS 公司、丹麦优傲机器人公司(Universal Robots)、美国 Rethink Robotics 公司和软银子公司 Asratec Corp。安全人员最终从这些机器人中发现了50多个漏洞,攻击者可借此通过机器人的麦克风和摄像头实施监控,窃取数据,甚至造成严重的物理伤害。

智能机器人变“敲诈者”?不是危言耸听!-E安全

IOActive 的研究人员警告称,随着人类与智能机器人之间的互动不断加深,新的攻击途径和威胁场景也会不断出现,攻击者未来可能会利用机器人实施勒索攻击。

机器人勒索攻击有何不同?

在传统的勒索攻击中,黑客加密有价值的数据,并要求支付赎金解密数据,但机器人通常只是经手数据,不会储存重要数据,因此,黑客的攻击一般表现为改变机器人的行为,进而要求受害者支付赎金。

鉴于智能机器人存在以下几个共同的特性,攻击者利用机器人成功勒索的几率较大:

  • 智能机器人价格昂贵;

  • 恢复出厂设置,修复软件或硬件问题面临困难;

  • 通常情况下,当机器人发生故障时,必须返厂或请技术人员上门维修,无论是哪种方式,可能需要等上数周的时间才能恢复运作。

如果其中一台机器人无法正常运作,企业和工厂每秒都会遭受损失。因此,中断服务或生产可能会是攻击者的一种策略。攻击者不需要加密数据,而是瞄准机器人的关键软件组件,让机器人“罢工”,以此勒索赎金。

软银 NAO 机器人勒索攻击演示过程

IOActive 利用深受欢迎的软银 NAO 机器人作为勒索攻击演示对象。由于 Pepper 机器人与 NAO 的操作系统几乎一样,因此研究人员针对 NAO 的 PoC 恶意软件同样适用于 Pepper,目前软银销售出去的 Pepper 和 NAO 机器人超过3万台

IOActive 的研究人员在针对一台 NAO 机器人的 PoC 勒索软件攻击演示中证明,恶意攻击者可控制或破坏这类智能机器人。黑客可利用远程命令执行漏洞修改机器人的默认操作,禁用管理功能,监控视频/音频,并将此类数据发送至命令与控制(C&C)服务器。

黑客同样可利用该漏洞提权,修改 SSH 设置,修改根密码禁用远程访问,并破坏工厂重置机制防止用户恢复系统或隔离勒索软件。

此外,黑客可利用另一个漏洞将自定义 Python 代码注入 NAO 机器人的 .xar 行为文件。这个漏洞可让黑客阻止机器人运行,显示不健康的内容,在机器人与客户互动时谩骂客户,甚至做出暴力伤人的举动等。

IOActive 的研究人员表示,PoC 勒索软件适用于软银的 NAO 和 Pepper 机器人,但这种攻击可能对每台存在漏洞的机器人均奏效。

IOActive 发布的演示视频显示,研究人员成功篡改了 NAO 机器人的输出语言,受研究人员控制的这台机器人称自己遭遇了黑客入侵,声称自己需要比特币,要么送上比特币,要么送命。

研究人员呼吁机器人制造商提高产品的安全性,改进机器人的恢复和更新机制,将勒索攻击威胁风险降到最低。机器人制造商若不快速行动,勒索攻击可能会让企业用户苦不堪言。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。