量子位 报道 | 公众号 QbitAI
把硬件设备的root密码设置为“root”这四个字母,是不是非常搞笑了?
真有人这么干,而且是大名鼎鼎的软银集团。
据The Register报道,瑞典的研究人员发现,软银三年前就开卖的Pepper机器人root密码被简单粗暴的设置为了R-O-O-T四个字母,标注在了用户手册里,并且直接被写死了,用户无法修改密码,但黑客可以大摇大摆的用这个密码黑进来,然后控制机器人。
当然,黑客要想完全操控机器人离不开其他部件的“配合”。
而软银在软硬件方面的设置刚好非常“配合”:
Pepper的处理器有问题,只需要uname -a终端命令操控;顺便提一下Pepper的处理器是2013年英特尔Atom E3845驱动,在今年年初被爆出了Meltdown/Spectre漏洞。
Pepper机器人的API接口可访问传感器、摄像头、麦克风和移动部件,具体功能用Python,C ++和Java写的很清楚;同时软银没有部署任何应对强行攻击的措施,Pepper在接受TCP消息的端口9559上公开服务并作出相应反应,只要信息符合API,Pepper就接受来自发送者的数据包,并且不需要身份验证。
Pepper机器人还可通过未加密HTTP进行管理,对于这一点,发现问题的研究人员感到软银拉低了整个CS界的智商:
“我们坚信,在2018年,销售如此易遭此类攻击的产品简直不能忍。通过未加密的通信渠道进行身份验证,这是软件开发人员能犯的最严重的错误之一,计算机本科生都知道应该避免这种错误,但让人遗憾的是,这个问题竟然出现在了售卖中的商业产品上。”
除了这些安全问题,研究人员还发现了Pepper的其他bug:
比如控制机器人行走的应用程序Simple Animated Messages (SAM),它可以实现设计一个简单的编排,让Pepper能够移动;以及通过文本到语音服务进行说明,显示到机器人身上的屏幕上。
然而这个程序无法控制扩展名,甚至用户可以上传图片格式的文本——你能想象把一个.txt改成.jpg或者.png上传执行么?
黑客控制Pepper,祸起萧墙普通的黑客操控计算机系统,可以控制软件,但是Pepper不一样,它开始一个有手有脚、有眼有耳的机器人。
如果黑客控制了Pepper,可能会偷窥你的生活,监视你的隐私,甚至欺骗你说出支付宝的密码。
最可怕的是,你不知道黑客会不会控制Pepper的手脚对你发动物理攻击,被机器人拿刀架在脖子上可不是什么美好的体验。
— 完 —
