机器人与IOT设备的安全漏洞困扰

对家庭，企业和工业设施中使用的机器人的分析揭示了IOT设备中常见的许多相同的基本弱点，提高了关于人类安全的安全影响的问题。

机器人行业近年来已经显着增长，只会进一步加速。预计机器人将在许多角色提供服务，从家庭，商店和医疗设施中协助人员，甚至处理安全和执法任务。

“当您认为机器人作为带有手臂，腿或车轮的计算机时，他们成为动态物联网设备，如果被黑客攻击，可以构成我们以前从未遇到过的新严重威胁，”网络安全咨询公司Ioactive在一份新报告中表示。

“随着人机互动改善和发展，新攻击向量出现和威胁情景扩展，”研究人员表示。“机械四肢，外围设备和人类信任扩展了可以利用网络安全问题造成伤害，破坏财产，甚至杀害的领域。

由Ioactive CTO Cesar Cerrudo和高级安全顾问Lucas APA执行的研究，涉及分析来自多个供应商的家庭，商业和工业机器人的移动应用程序，操作系统，固件图像和其他软件。

测试软件组件的机器人：来自SoftBank机器人的Nao和Pepper机器人，来自Ubtech机器人的Alpha 1s和Alpha 2机器人，来自Robotis，UR3，UR5和UR10来自通用机器人的机器人，来自重新思考机器人的百姓和锯盘机器人以及使用来自一家名为Asratec的公司V-Sido机器人控制技术的多个机器人。

研究人员发现，大多数机器人使用不安全的通信，具有身份验证问题，缺少授权方案，使用弱密码术，默认情况下具有弱配置，并使用易受攻击的开源框架和库构建。

虽然没有所有的机器人都有所有这些问题，但每个机器人都有几个，研究人员在他们的报告中说。这导致他们得出结论，评估中未包含的其他机器人可能有许多同样的问题。

有些机器人可以从移动应用中控制，也可以通过安装在计算机上的软件进行编程。其他机器人与基于云的服务进行通信以接收软件更新和应用程序。

如果这些各种组件之间的通信信道不安全和加密，则攻击者可能会潜在地启动中间人攻击并注入在机器人上执行的恶意命令或软件更新。

此外，许多测试的机器人固件和操作系统具有远程访问服务，可提供对不同功能的访问。访问其中一些服务不需要任何身份验证。一些服务需要认证，但使用较弱的机制可以很容易地绕过。

“这是我们发现的最关键的问题之一，允许任何人远程和轻松地破解机器人，”研究人员在其报告中表示。

有些机器人没有加密存储的密码，加密密钥，第三方服务的凭据和其他敏感数据。其他人试图使用加密保护数据，但具有不正确地实现的加密方案。

发现许多随附的移动应用程序被发现将网络，设备和GPS细节等敏感信息发送到无用户同意的远程服务，并且某些机器人“默认配置包括不可思议的功能，这些功能无法容易被禁用或无法更改的默认密码。

一些身份验证，授权和不安全的通信问题是由机器人开发人员共享的开源软件框架，库和操作系统中的漏洞的结果。一个这样的案例是机器人操作系统（ROS），Ioactive研究人员表示，在来自多个供应商的多个机器人中使用的流行操作系统。

研究人员认为另一个问题是，在许多情况下，机器人将从原型跳跃到商业产品的跳跃太快，没有任何网络安全审计和建立的额外保护。

黑客机器人的许多含义类似于黑客的物联网设备或计算机：通过麦克风或摄像机间谍，在内部网络内部提供立足点，以推出其他攻击，曝光个人数据和存储凭证的第三方服务。然而，由于他们的动力学能力，机器人也造成了其他危险。

内部家园，被攻击的机器人可以用来损坏物体并通过突然移动伤害人们。它们可能会启动火灾，解锁门，停用家庭报警等。在商业环境中的黑客机器人可能会出现同样的问题。

工业机器人更加危险，因为它们“重新越来越强大，而且比其他类型的机器人更强大。他们很容易杀死一个人，并且有意发生了人们死亡的事故，因为工业机器人发生故障。

“许多网络安全问题我们的研究可以通过实施知名的网络安全实践来防止，”Ioactive研究人员说。“我们发现有可能以多种方式破解这些机器人，使得了解威胁的大量努力，并在优先考虑受影响的供应商减轻他们的最重要态度。这种知识使我们能够确认我们的初始信念：所有机器人供应商的时间是在确保他们的技术方面采取立即采取行动的时间。“

该研究表明，直到现在机器人供应商在市场上优先考虑在市场上获得产品。这也发生在其他行业中，就像与东西的互联网一样，已经成为一个大安全混乱。

Ioactive研究人员说，如果在产品的生命周期开始时没有考虑到网络安全，修复漏洞是更复杂和昂贵的。“幸运的是，由于机器人采用尚未主流，因此还有时间改进技术并使其更加安全。”