聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
本月初,北欧研究员指出,软银公司的热门人形机器人 Pepper 中充斥着漏洞。
这款机器人可遭未经认证的攻击者获得根级别的权限、运行易受 Meltdown/Spectre 攻击的处理器、可遭未加密的 HTTP 管理并且还设置了默认的根密码。
来自厄勒布鲁大学的研究员 Alberto Giaretta 以及瑞典技术大学的 Michele De Donno 和 Nicola Drgoni 表示虽然很多人都对机器人实施了多种一次性的特技式攻击,但他们尚未对 Pepper 的安全性进行系统性评估。
研究人员表示,“将它转变为网络和物理武器实施恶意行为易如反掌。”
Meltdown/Spectre 漏洞非常容易被发现,因为只需一个终端命令 “uname-a” 即可触发。
Ettercap 和Wireshark 的研究结果表明,管理页面并不安全,它暴露了唯一的用户账户即 nao 的用户名/密码对。
机器人 Pepper 执行了某些安全机制,如限制对 nao 的 SSH 访问而非允许 SSH 根访问,但由于机器人账户的密码是 root (无法更改且被写入用户使用手册),因此来自 nao’s 终端的超级用户命令就能让攻击者获得全部权限。
管理面板中也未设置“登出”功能。
研究人员认为,在2018年还出售这种易受此类攻击的产品令人无法容忍。
研究人员还发现 Pepper 易受的暴力攻击,因为软银机器人并未提供针对无限次密码尝试的暴力攻击的防护措施。他们指出这种情况也令人失望且无法让人接受。
研究人员指出 Pepper 上的应用“简单动画信息 (SAM)”可让用户“设计一个简单的舞蹈动作,通过文本语音转换服务进行表达,并在机载平板上显示图片。”研究人员指出,结果导致这款应用无法控制文件扩展,他们能够在不执行扩展编辑的情况下上传图像、扩展被修改为图像的文本文件、甚至是明文文件。
研究人员打算不提供 PoC,但认为这些漏洞极易遭利用。
还有一个问题存在于 Pepper 的 API 中。这个 API 能通过很多语言如 Python、C++ 和 Java 暴露其能力,向所有传感器、摄像头、麦克风和移动的部件提供访问权限,因为这个 API的安全性极其糟糕。
研究人员指出,“Pepper 在端口9559 上暴露了一个服务,它能接受 TCP 信息并作出相应的反应。只要信息遵循 API,那么按照设计,Pepper 就能从任何人接受数据包。”
能够经由 TCP 和 Pepper 进行通信的攻击者还能利用摄像头和麦克风监控人员和会话,能够远程和人们进行交互(如诱骗他们提供个人信息)、将 Pepper 作为攻击工具或者发送关闭或出厂重置命令。
至少,菲比 (Furby) 娃娃在遭硬件攻击后才会发出咒语啊。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。