亚马逊的 Alexa 语音助手摄像机帮你解决「服装搭配」问题,但隐私安全怎么破?
帮手还是帮凶?研究表明工业机器人正成为黑客们最爱的「安全黑洞」
当机器人成为信息安全隐患的入口,你还会觉得它很酷吗?
在科幻作家艾萨夫·阿西莫夫(Isaac Asimov)的作品中,他设想了一个无处不在的机器人参与劳动的世界。他预测了一套不可改变的三项定律来管理他们的行为,其中第一条是:「机器人永远不会伤害人类,或坐视人类受伤。」
但在现实生活中,这种机器人的存在似乎只是个美好的设想,至少不是现有的家用和工业机器人所能实现的。而根据新的研究,它们容易受到黑客的攻击和远程接管,黑客可以轻易地攻破任何安全措施,并导致人员受到伤害甚至死亡。
研究人员发现,网络安全漏洞的种类广泛且难以预测:不安全的通信协议,认证问题,弱密码学,弱默认系统配置和易受攻击的开源机器人软件库都有可能导致黑客的攻击。
一次可怕的测试:看黑客如何破坏机器人手臂
根据外媒报道, 在今年 5 月末即将举办的 IEEE 安全与隐私会议上,一家名为趋势科技的公司联合意大利米兰政治研究所的研究人员计划提出一个案例研究。他们开发的攻击技术,能进行微妙的破坏,甚至完全劫持一个 220 磅重的工业机器人手臂,能够控制夹爪,焊接工具,甚至激光系统。 他们的研究对象是 ABB IRB140 工业机器人,一个能够移动数百磅的机器人手臂,在汽车制造,食品加工,包装和制药等领域都有应用。
趋势科技和意大利米兰政治研究所的研究人员此前花了近一年半的时间来探索联网和互联网连接的工业机器人的风险。在他们的测试中,研究人员在控制器计算机中发现了大量的安全漏洞,这些安全漏洞使得研究团队能够采取一系列的攻击行动,例如:
- 用插入计算机端口的 USB 驱动器来改变约 75,000 美元的机器操作系统,并巧妙地篡改其数据。
- 用互联网扫描工具 Shodan 来查找连接到机器人的暴露的可访问的 FTP 服务器,并将文件上传,到下一次重新启动机器人时将被自动下载并运行。
- 尽管被设计为在保护架内自动运行,但即使在自动模式下,Flex Pendant(机器人手持操控器)也可能会显示是处于手动模式,如此会诱使受害者进入笼子,然后造成严重伤害。
- 机器可能被黑客微妙地改变其制造参数或简单地降低精度,使得产品的规格出现不可察觉偏差。
尽管 ABB 在趋势科技通知发现漏洞后以很快的速度建立了修护补丁,但这并不能减少人们对此的担忧。
除 ABB 之外,研究人员还使用 Shodan 和 ZoomEye 等工具扫描互联网上潜在的可攻击机器人,并在美国、丹麦、瑞典、德国和日本等国家发现了数十种机器人,他们认为实际数目可能会更高。
研究人员 Maggi 指出,他们其他扫描出了千上万易受攻击的工业网络路由器,这些安全防护薄弱的路由为黑客提供了一个发起攻击的立足点。
黑客攻击无处不在,工业 4.0 时代的信息安全令人堪忧
在即将到来的工业 4.0 时代,许多自主机器将通过互联网连接,包括自动驾驶汽车及服务于家庭与办公场景的机器人。
据《纽约时报》报道,美国西雅图的一家计算机安全咨询公司 IO Active 在近日公布了一份调查报告,声称在六家家用和工业机器人的检查中发现了重大的安全漏洞。该报告指出,六家公司中只有四家公司做出了回应,只有两家公司表示计划在通告问题后补丁。
这份报告点名到了许多已经颇负盛名的机器人企业及产品,包括 SoftBank Robotics 旗下的 Pepper 家用机器人,以及 Universal Robots 和 Rethink Robotics 等机器人制造商,这两个机器人手臂制造商主要生产能在组装线应用中与人进行合作的协作机器人。它还识别了由 UBTECH Robotics 制造的小型人形机器人,以及由 Asratec Corp. 开发的机器人软件存在的缺陷。
该报告确定了七种不同类型的安全问题,从弱加密系统和易受攻击的默认配置到安全专家称之为认证问题。在某些情况下,他们指出可以在没有认证的情况下控制一些机器人功能。
研究人员描述了他们在报告中发现的漏洞类别,但没有指出具体的缺陷,并表明他们的研究只是对该领域的早期侦察。对此,行业专家警告说,如果机器人制造商不采取安全第一的方法,这些漏洞可能会成为长期困扰他们的问题,甚至可能带来重大的安全事故。
不过,报告确定的机器人制造商之一 Rethink Robotics 对调查结果提出了异议,发言人 Gil Haylon 说,研究人员的两个批评实际上只涉及到研究和教育市场的「功能」,而非工业领域。他补充说,其他漏洞将在最新的软件版本中被淘汰。
当机器人成为信息安全隐患入口,你还会觉得它很酷吗?
从咖啡师到比萨厨师 ,用来组装手机、汽车和飞机的自动化设备正在迅速占领经济的各个领域,预计到 2021 年将占美国所有职位的 6% 。到 2018 年,预计全球工厂工业机器人数量将达 130 万台。而这些机器人,都可能存在被黑客入侵的风险。
很早以前就有工业机器人伤害甚至杀死工人的新闻,尽管到目前为止也没有证据证明那是黑客所为,但不证明今后不会发生。由于工业机器人非常强大,它们可能会导致的伤害要比家用与商用机器人大得多。
至于家用机器人,由于具有更少的体力和速度不会对人体造成直接的严重伤害,但也可能会引发间接的安全隐患。
例如可以通过麦克风和相机窥视其所有者,通过篡改电气设备引起火灾,甚至通过将有毒物质与食物或饮料混合而将家庭成员或宠物毒害。
由于未来的智能家居自动化系统中可能集成家用机器人作为管家角色,犯罪分子甚至可以通过网络入侵机器人来解锁门并停用警报,使他们成为窃贼的新朋友。即使是不整合的机器人,如果他们可以谈话或允许攻击者通过麦克风进行交谈,也可以告诉声音助手(如 Siri 或 Alexa)解锁门并禁止家庭安全。
在未来,随着家用机器人应用场景的拓展,它们会像工业机器人一样具有潜在危险。并且随着功能及数量的增加,攻击面越大。尽管机器人带给人们对美好生活的无尽想象,可若机器人厂商不能以安全第一的原则进行设计与生产时,恐怕也不会再有人觉得机器人很酷了。