Используемые в быту и на производстве роботы имеют те же распространенные проблемы с безопасностью, что и устройства «Интернета вещей» (IoT).
К такому заключению пришли эксперты компании IOActive на основании анализа мобильных приложений, операционных систем, образов прошивок и другого ПО, используемого в бытовых и промышленных роботах от различных производителей.
По словам исследователей, робот представляет собой IoT-устройство, но только с руками, ногами, колесами и способное двигаться. Взломанный злоумышленником он способен превратиться в угрозу невиданных ранее масштабов. «По мере развития способов взаимодействия между роботом и человеком появляются новые векторы и сценарии атак», - пояснили Цезарь Керрудо (Cesar Cerrudo) и Лукас Апа (Lucas Apa) из IOActive.
В ходе исследования эксперты проанализировали ПО таких роботов, как NAO и Pepper производства SoftBank Robotics, Alpha 1S и Alpha 2 от компании UBTECH Robotics, ROBOTIS OP2 и THORMANG3 от ROBOTIS, UR3, UR5 и UR10 от Universal Robots, Baxter и Sawyer от Rethink Robotics, а также несколько моделей, где используется разработанная компанией Asratec технология управления V-Sido.
Как обнаружилось в ходе исследования, подключение большинства роботов является незащищенным. Кроме того, у многих моделей есть проблемы с аутентификацией и отсутствуют механизмы авторизации. Во многих роботах используются уязвимые библиотеки с открытым исходным кодом и слабое шифрование (в некоторых оно и вовсе отсутствует), а конфигурации по умолчанию являются ненадежными и могут привести к утечке данных.
Управление некоторыми моделями осуществляется с мобильных приложений или с помощью ПК. Другие роботы подключаются к облачным сервисам для получения обновлений. Если подключение между различными компонентами является незащищенным, злоумышленник может осуществить атаку «человек посередине» и отправить роботу вредоносную команду или обновление.
