请选择 进入手机版 | 继续访问电脑版
连接人与机器人、元宇宙的平台
微信二维码
迪恩财经
手机版
访问手机版
虾爬子机器人 首页 机器人 查看内容

海量安全漏洞!软银Pepper机器人可能在窃听、诈骗、袭击你

2022-3-12 08:50| 发布者: nvoxbmbx| 查看: 165| 评论: 0

摘要: 郭一璞 发自 凹非寺 把硬件设备的root密码设置为“root”这四个字母,是不是非常搞笑了?真有人这么干,而且是大名鼎鼎的软银集团。据The Register报道,瑞典的研究人员发现,软银三年前就开卖的Pepper机器人root ...

郭一璞 发自 凹非寺


把硬件设备的root密码设置为“root”这四个字母,是不是非常搞笑了?


真有人这么干,而且是大名鼎鼎的软银集团。





据The Register报道,瑞典的研究人员发现,软银三年前就开卖的Pepper机器人root密码被简单粗暴的设置为了R-O-O-T四个字母,标注在了用户手册里,并且直接被写死了,用户无法修改密码,但黑客可以大摇大摆的用这个密码黑进来,然后控制机器人。


当然,黑客要想完全操控机器人离不开其他部件的“配合”。


而软银在软硬件方面的设置刚好非常“配合”:


Pepper的处理器有问题,只需要uname -a终端命令操控;顺便提一下Pepper的处理器是2013年英特尔Atom E3845驱动,在今年年初被爆出了Meltdown/Spectre漏洞。


Pepper机器人的API接口可访问传感器、摄像头、麦克风和移动部件,具体功能用Python,C ++和Java写的很清楚;同时软银没有部署任何应对强行攻击的措施,Pepper在接受TCP消息的端口9559上公开服务并作出相应反应,只要信息符合API,Pepper就接受来自发送者的数据包,并且不需要身份验证。


Pepper机器人还可通过未加密HTTP进行管理,对于这一点,发现问题的研究人员感到软银拉低了整个CS界的智商:


“我们坚信,在2018年,销售如此易遭此类攻击的产品简直不能忍。通过未加密的通信渠道进行身份验证,这是软件开发人员能犯的最严重的错误之一,计算机本科生都知道应该避免这种错误,但让人遗憾的是,这个问题竟然出现在了售卖中的商业产品上。”


除了这些安全问题,研究人员还发现了Pepper的其他bug:


比如控制机器人行走的应用程序Simple Animated Messages (SAM),它可以实现设计一个简单的编排,让Pepper能够移动;以及通过文本到语音服务进行说明,显示到机器人身上的屏幕上。


然而这个程序无法控制扩展名,甚至用户可以上传图片格式的文本——你能想象把一个.txt改成.jpg或者.png上传执行么?


黑客控制Pepper,祸起萧墙


普通的黑客操控计算机系统,可以控制软件,但是Pepper不一样,它开始一个有手有脚、有眼有耳的机器人。


如果黑客控制了Pepper,可能会偷窥你的生活,监视你的隐私,甚至欺骗你说出支付宝的密码。


最可怕的是,你不知道黑客会不会控制Pepper的手脚对你发动物理攻击,被机器人拿刀架在脖子上可不是什么美好的体验。




鲜花

握手

雷人

路过

鸡蛋

下载APP随时随地体验

安卓APP

IOS APP

网站负责人热线:

13683102241

公司地址:北京市密云区基地产业楼

QQ: 3496876865

Email:3496876865@qq.com
songzhendong@therobots.cn(创始人邮箱)

Copyright   ©2015-2022  虾爬子机器人Powered by therobots.cn
机器人之家(北京)科技有限公司