Близится время, когда хакеры начнут взламывать плохо защищенные роботы с целью причинения физического ущерба или использовать их для скрытной слежки за владельцами. Согласно результатам исследования IOActive Labs, в роботах, ныне используемых в быту, промышленности и в сфере обслуживания, содержатся серьезные уязвимости, из-за которых они могут легко стать добычей хакеров или причиной случайной утечки.

Анализ 10 бытовых, служебных и промышленных роботов показал риски разной степени в виде ненадежных коммуникаций, проблем с аутентификацией, слабой криптографии и отсутствия процедуры авторизации. По словам Сесара Серрудо (Cesar Cerrudo), технического директора IOActive, роботам свойственны многие недочеты ИБ, от которых страдают подключенные к Сети медицинские устройства, «умные» автомобили и детские интерактивные игрушки. «Мы обнаружили около 50 уязвимостей в компонентах экосистемы роботов; многие из них — весьма распространенные проблемы», — пишут исследователи в отчете.

В ходе исследования были проанализированы некоторые аппаратные средства роботов и их экосистемы. В контрольную группу попали такие роботы, как NAO и Pepper производства SoftBank Robotics, Alpha 1S и Alpha 2 от UBTECH Robotics, а также Baxter и Sawyer от Rethink Robotics.

По словам Серрудо, одной из самых серьезных проблем, выявленных в ходе анализа, являются слабые дефолтные настройки, грозящие нарушением приватности, а также DDoS-атаками против других подключенных к Интернету устройств. «Мы обнаружили роботы с ненадежными функциями, которые нелегко отключить или защитить, а также функции с заданными по умолчанию паролями, которые трудно либо вообще невозможно изменить», — сказано в отчете IOActive.

Изучение экосистем показало, что многие платформы роботов используют фреймворки и библиотеки с открытым исходным кодом, страдающие от хорошо известных проблем. Во многих случаях коммуникации осуществляются открытым текстом, важные службы плохо защищены от несанкционированного использования, некоторые сервисы вообще открыты для удаленного доступа. «В сообществе по робототехнике, похоже, принято пользоваться одними и теми же программными фреймворками, библиотеками, операционными системами и т.п. в разработке и программировании, — заключили исследователи. — Это само по себе неплохо, если программы надежны; к сожалению, в данном случае это не так».

Серрудо также отметил, что угроза со стороны уязвимых роботов отличается от прочих, так как многие из них — полуавтоматы, к тому же способные перемещаться и влиять на непосредственное физическое окружение. «В наши дни эта угроза невелика по сравнению с тем, на что роботы будут способны при дальнейшем развитии», — предупреждает эксперт.

По мнению Серрудо, в усилении защиты нуждаются такие компоненты роботов, как микрофоны, камеры, модули сетевого подключения, приложения для удаленного управления и приспособления, обеспечивающие маневренность. «В случае взлома автономный робот будет перемещаться в пространстве до тех пор, пока не кончится батарейное питание, — пишут исследователи. — Это позволит хакеру контролировать «угрозу инсайда» и похитить информацию либо навредить находящимся вблизи объектам или людям».

Отвечая на вопросы Threatpost, Серрудо не смог припомнить ни одного известного случая, когда взлом робота причинил персональный ущерб или поставил под угрозу безопасность. Вместе с тем представитель IOActive привел в пример несколько чрезвычайных происшествий, которые, по его мнению, иллюстрируют потенциальные риски, связанные со взломом робота. Так, в 2015 году в Алабаме произошел несчастный случай на производстве: робот внезапно включился, и погибла женщина. Зафиксированы также несколько смертельных исходов при нарушении роботизированных функций медицинского и военного оборудования.

«Случаи хакерского взлома роботов нам неизвестны, — подтвердил Лукас Апа (Lucas Apa), старший консультант по вопросам ИБ в IOActive. — Однако безопасность роботов, которые мы протестировали, неутешительна. Мы ожидаем, что в будущем, когда роботы получат большее распространение, злоумышленники начнут взламывать их для получения финансовой выгоды».

Со слов Апы, когда ждать массовую роботизацию, никто пока точно не знает. По прогнозам IDC, к 2020 году инвестиции в эту область вырастут до $188 млрд (в прошлом году эта сумма составила $91,5 млрд). Особенно заметный рост капиталовложений маркетологи ожидают в сфере здравоохранения и в розничной торговле.

«Похоже, IT-профессионалы не учатся на своих ошибках, — сетует Серрудо, комментируя результаты исследования. — Безопасность по-прежнему обеспечивается задним числом. Уступая спросу, разработчики привносят новые функции, не проверяя их на безопасность, а потом им приходится возвращаться к этому вопросу, и все это в угоду инвесторам, поторапливающим с выводом продукта на рынок».

Как сказано в отчете IOActive, безопасность должна стать приоритетом при производстве роботов с первого дня. «Вендор должен обеспечить надежность дефолтных настроек робота, — пишут исследователи. — Вендору следует также удостовериться в том, что все его поставщики технологий используют передовые практики… Кроме того, вендоры должны реализовать процессы Secure Software Development Life Cycle (сделать безопасность частью жизненного цикла разработки ПО)».

Категории: Аналитика, Главное, Уязвимости