Скандинавские исследователи опубликовали отчет об уязвимостях человекоподобного робота Pepper производства SoftBank Robotics. Японский андроид был защищен несменяемым паролем и получал команды через незашифрованный HTTP-протокол. Экспертам удалось без аутентификации передать на устройство сторонние файлы и зайти в аккаунт суперпользователя.

Роботы Pepper пользуются популярностью среди организаций, работающих в сфере образования и торговли, и предназначены для взаимодействия с посетителями. Устройства стоимостью около 20 тыс. долларов обслуживают более 2,5 тыс. публичных пространств. Они оснащены экраном, 3D-камерой, несколькими микрофонами и имеют 20 степеней подвижности.

О брешах в защите продукта представители IOActive уведомили производителя еще в начале 2017  года, однако вендор так и не выпустил патчи безопасности. В марте 2018 года на конференции Security Analyst Summit ИБ-аналитики продемонстрировали перехват платежной информации, данных с видеокамер и микрофонов на другой модели производства SoftBank Robotics — андроиде NAO. По словам специалистов, этот же тип атаки применим и к Pepper.

Новое исследование в мае 2018 года провели Альберто Джаретта (Alberto Giaretta) из шведского университета Эребру (Örebro University) совместно с Микеле ДеДонно (Michele De Donno) и Никола Дргони (Nicola Drgoni) из Датского технического университета. Идея взломать устройство возникла в связи с тем, что, несмотря на единичные эксперименты этичных хакеров, комплексный анализ уязвимостей Pepper никто до сих пор не опубликовал.

Эксперты обнаружили, что процессоры, на которых работает андроид, подвержены уязвимостям Meltdown и Spectre. Чтобы выяснить это, исследователям потребовалась всего одна команда терминала — uname. Две аппаратные бреши затрагивают большинство современных процессоров Intel и AMD и позволяют злоумышленникам получать несанкционированный доступ к привилегированной памяти.

Одно из немногих обнаруженных экспертами препятствий для взломщиков — ограничение SSH-доступа к аккаунту nao, через который осуществляется управление андроидом. Однако эта мера не имеет большого смысла, поскольку пароль к учетной записи суперпользователя один для всех устройств — root. Более того, он указан в мануале к роботу, и его невозможно сменить.

Исследователи смогли также взломать приложение для управления андроидом Simple Animated Messages (SAM). С его помощью можно заставить устройство двигаться, общаться с людьми, преобразуя текст в речь, и выводить на встроенный экран изображения. Аналитикам удалось передать роботу сторонние изображения и даже текстовые файлы.

Управлять оборудованием дистанционно можно и без специального ПО. Как выяснилось, устройство обрабатывает любые TCP-запросы, которые подходят под его API, независимо от того, кто является отправителем, что позволяет выполнять сторонние скрипты. «Удаленно превратить его [Pepper] в физическое и кибероружие проще простого»,  — заявили эксперты.

Множественные уязвимости характерны не только для коммерческих, но и для промышленных устройств. Бреши в защите позволяют управлять подвижными частями оборудования и могут угрожать здоровью и жизни людей. Так, в 2015 году внезапная активация робота на производстве привела к гибели женщины.

Категории: Главное, Уязвимости