三种主流机器人全被黑客攻破,让马斯克忧心的杀人机器并不遥远

2017 年 8 月 23 日 数据玩家
李杉 允中 编译整理
本文经AI新媒体量子位(公众号 ID: QbitAI)授权转载,转载请联系出处。


科幻小说和电影里,经常会有类似“天网”的角色。而在设想自动化技术给人类负面影响时,我们通常会想到它对就业构成的影响,很少想到文学作品里那种杀戮场景。

然而,机器人可能带来的“威胁”并不在遥远的未来。

最近,就有黑客宣称已经攻破四种主流机器人:消费级机器人Alpha2、NAO(Pepper),以及体量更大的Universal Robots工业机器手臂。

谈到这些机器人,黑客表示:“他们可以移动,可以听到,可以看见”,也正是如此,这些机器人被黑之后可以用来刺探情报甚至搞破坏。极端情况,这些机器人甚至可以被用来当作杀人机器。


黑掉机器人

其实上面提到的也不是真正的“黑客”,而是来自IOActive的安全专家Lucas Apa以及首席技术官Cesar Cerrudo。

他们最新公布的研究显示,热门的消费和工业机器人存在的漏洞,甚至可能因此对人类造成伤害。这项研究调查了一种与人类共同工作的协作型机器人,这类产品通常适用于工业场景。

IOActive的重点是一组尚未修补的漏洞,影响对象是Universal Robots生产的UR系列机器人,包括“很多控制协议中的认证问题、对物理攻击的敏感性、内存损坏漏洞以及不安全的通信传输。”该团队在2016年1月向这家公司披露过他们的担忧,还在7月发布了一段相关视频,并在在博文中详细阐述了方法。

(文末有更详尽的描述)

此次研究的攻击目标是一个缓冲区溢出漏洞,它会令一项关键的安全措施失效,使之无法确保机器人与旁边的人类“和平共处”。这项安全措施限制了工业机器人的物理活动参数,但该研究所掩饰的方法却可以打破这种限制。

结果非常危险,甚至会对旁边的人类造成毁灭性的打击。

事实上,Universal Robotics的文档早已罗列了潜在的危险,包括因为锋利边缘割伤皮肤、产生挫伤、因为沉重负荷和坚硬表面导致骨折,以及在未经授权的情况下改变安全配置参数而产生错误。

已经在全球范围内部署的机器人竟然有这么大的安全隐患,着实令人吃惊不已。IOActive的另外一段视频还展示了软银NAO和Pepper两种机器人可能因为黑客入侵而成为间谍设备,用于收集各种未经加密的视频和音频数据,并进行远程传输。

(NAO和Pepper使用了相同的易被攻击部件)


此外,他们还发现中国公司优必选(UBTech)出售的机器人Alpha2所运行的Android操作系统,没有使用代码签名(code-signing)机制,这是一种防止流氓软件安装的安全措施。Alpha2还没有对通信连接进行加密,这让黑客可以使用“中间人攻击”来注入恶意引用程序。

日本软银的NAO也有类似的漏洞。

在下面这个视频中,研究人员展示了Alpha2被黑以后会发生什么变化。(场面略惊悚……)



相关回应

在所有报道此事的外媒中,量子位看到优必选和软银都对《连线》等作出了回应。其中优必选表示“已经全面解决了所有相关问题”,而软银表示“我们认为没有任何问题需要担心,只要用户设置了足够复杂的密码即可”。

不过Apa和Cerrudo表示,并没有发现问题已经解决的迹象。

另外Universal Robots的发言人在声明中表示,已经注意到相关报告,并且会密切监测潜在的风险等等。

今年初,来自意大利的另外一支研究团队表示,他们可以黑掉体积更大、风险更高的工业机器人手臂ABB IRB140。

而IOActive前不久还发布一项研究,阐述了悬浮滑板可能通过哪些方式杀死我们……


黑客入侵展示

IOActive在新发布的报告:《Exploiting Industrial Collaborative Robots(利用工业协作型机器人)》中,较为详细的展示了攻击的过程。

他们以Universal Robots的机械臂为例,最终利用六个漏洞改变了安全限制错失,通过网络远程禁用了安全平面以及紧急按钮和传感器,这会造成机器臂摇摆不定,并造成破坏。


如何远程改变安全配置?只需六步。

1、利用UR Dashboard Server上的身份验证问题来确认远程版本。

2、利用UR Modbus TCP服务中的堆栈缓冲溢出,以root权限执行命令。

3、修改security.conf文件,这个文件负责所有安全通用限制。

4、在校验和计算中强制产生冲突,并重新上传文件。我们需要伪造这个数字,因为集成商可能在硬件上写入当前的校验和数值。

5、重启机器人,以便新文件更新安全配置,这一步应该静默的完成。

6、利用UR Control服务的认证问题,(以危险的方式)控制机器人移动。


黑客问答

提问:这些机器人真的可以伤人么?

回答:是的。加拿大蒙特利尔ETS研究所控制和机器人实验室的一项研究清楚的表明,即便是尺寸较小的UR5型号也足以对人构成严重伤害。就算慢速运行时,它们的力量足以造成颅骨骨折。

提问:难道没有安全防护措施?

回答:当然有,但是黑客可以远程入侵。(如上所述)

提问:这些机器人部署在哪里?

回答:世界各地,每天都在不同的环境中工作。

 这就是一个UR5

 DARPA的ALIAS机器人(UR3机器臂)

嗯,先讲到这里,不知道你看懂没有……


限时干货下载

Step 1:长按下方二维码,添加微信公众号“数据玩家「fbigdata」”

Step 2:回复【2】免费获取完整数据分析资料「包括SPSS\SAS\SQL\EXCEL\Project!」


登录查看更多
0

相关内容

【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【中科院信工所】视听觉深度伪造检测技术研究综述
专知会员服务
40+阅读 · 2020年4月15日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
Equalization Loss for Long-Tailed Object Recognition
Arxiv
5+阅读 · 2020年4月14日
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
q-Space Novelty Detection with Variational Autoencoders
Large-Scale Study of Curiosity-Driven Learning
Arxiv
8+阅读 · 2018年8月13日
Arxiv
4+阅读 · 2016年12月29日
VIP会员
相关VIP内容
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【中科院信工所】视听觉深度伪造检测技术研究综述
专知会员服务
40+阅读 · 2020年4月15日
Top
微信扫码咨询专知VIP会员