亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Softbank Robotics?公司的?NAO?和?Pepper?機(jī)器人中被曝存在漏洞，可引發(fā)代價(jià)高昂的勒索軟件攻擊，導(dǎo)致商用機(jī)器人停止運(yùn)轉(zhuǎn)、咒罵消費(fèi)者，甚至是實(shí)施暴力動(dòng)作。

IOActive?實(shí)驗(yàn)室的研究人員在卡巴斯基安全分析師峰會上公布了這個(gè)漏洞，表示在2017年1月就已將漏洞告知?Softbank?公司，但后者至今仍未發(fā)布任何補(bǔ)丁。

研究人員指出，這個(gè)漏洞能引發(fā)針對機(jī)器人所收集的機(jī)密傳輸信息的攻擊如高清視頻內(nèi)容、最多四個(gè)方向的麥克風(fēng)捕獲的音頻、以及運(yùn)行在機(jī)器人上的支付信息或其它商業(yè)信息。另外一個(gè)嚴(yán)重的勒索軟件目標(biāo)是機(jī)器人宕機(jī)，給企業(yè)帶來經(jīng)濟(jì)損失。

IOActive?實(shí)驗(yàn)室在白皮書中指出，“因此可以推斷，中斷服務(wù)和/或生產(chǎn)是攻擊者的另外一個(gè)戰(zhàn)略。攻擊者不是加密數(shù)據(jù)，而是攻擊關(guān)鍵的機(jī)器人軟件組件，從而導(dǎo)致機(jī)器人無法運(yùn)轉(zhuǎn)，除非被害者支付勒索金。”

NAO?和?Pepper?機(jī)器人的售價(jià)在1萬美元左右，是全球使用最廣泛的研究和教育機(jī)器人。全球2000多家企業(yè)部署了2萬臺?Pepper?機(jī)器人，全球范圍內(nèi)有1萬臺?NAO?機(jī)器人在使用。

PoC?已發(fā)布?勒索攻擊代價(jià)高昂

為了展示這個(gè)漏洞，IOActive?實(shí)驗(yàn)室構(gòu)建了針對?Softbank Robotics NAO?機(jī)器人的?PoC，它同時(shí)也可應(yīng)用于?Pepper?機(jī)型。為了部署勒索軟件，該公司利用了一個(gè)未記錄的允許遠(yuǎn)程命令執(zhí)行的功能。

IOActive?實(shí)驗(yàn)室表示，“這個(gè)未經(jīng)記錄的功能可導(dǎo)致通過使用?ALLauncher?模塊和調(diào)用?internal_launch?功能的方法實(shí)例化?NAOqi?對象，從而執(zhí)行遠(yuǎn)程命令。”

隨后它們會感染模塊文件更改機(jī)器人默認(rèn)操作、禁用管理功能、監(jiān)控視頻/音頻并發(fā)送給命令和控制服務(wù)器。之后，攻擊者可提升權(quán)限、更改?SSH?設(shè)置并更改根密碼。為保證用戶重裝系統(tǒng)卸載勒索軟件，攻擊者也能破壞出廠設(shè)置機(jī)制。

攻擊者隨后可將感染通知給命令和控制服務(wù)器并感染所有行為文件，而后者包含執(zhí)行機(jī)器人主要業(yè)務(wù)或動(dòng)作的自定義代碼。

IOActive?實(shí)驗(yàn)室表示，通過將自定義?Python?代碼注入在機(jī)器人上執(zhí)行的任何?.xar?行為?XML?文件，機(jī)器人行為可遭惡意更改而無需更改項(xiàng)目文件。

IOActive?公司的?PoC?代碼說明，隨著越來越多的機(jī)器人出現(xiàn)在家庭、教育中心、企業(yè)和工業(yè)設(shè)備中，勒索軟件的代價(jià)將變得更加高昂而且也更加危險(xiǎn)。

研究人員表示，更讓人擔(dān)心的是，機(jī)器人還能做出動(dòng)作。勒索軟件或能攻陷機(jī)器人，而且如果機(jī)器人能隨意攻擊企業(yè)員工時(shí)會威脅人類生命的安全。

針對機(jī)器人的勒索軟件攻擊之所以如此有效的部分原因是，機(jī)器人的售價(jià)并不便宜而且也不容易恢復(fù)為出廠設(shè)置以修復(fù)軟件或硬件問題。普通勒索軟件可被輕易刪除且數(shù)據(jù)通過備份可以恢復(fù)。而機(jī)器人勒索軟件無法輕易刪除，機(jī)器人的問題需要受過訓(xùn)練的特殊技術(shù)工人來修復(fù)，不運(yùn)轉(zhuǎn)的宕機(jī)事件會帶來生產(chǎn)和收益的損失。

IOActive?實(shí)驗(yàn)室表示，雖然其?PoC?勒索軟件針對的是?SoftBank?的?Pepper?和?NAO?機(jī)器人，但同樣的攻擊也可能出現(xiàn)在多家供應(yīng)商提供的很多機(jī)器人上。

IOActive?實(shí)驗(yàn)室在報(bào)告中指出，機(jī)器人供應(yīng)商應(yīng)該改進(jìn)機(jī)器人的安全性，同時(shí)恢復(fù)并更新機(jī)器人的機(jī)制以將勒索軟件威脅最小化。如果機(jī)器人供應(yīng)商不能快速行動(dòng)，那么針對機(jī)器人的勒索軟件攻擊會對全球企業(yè)帶來損害。