研究人員利用勒索軟體綁架知名的NAO機器人,讓它說出自己被駭,並索求比特幣作為贖金。

圖片來源: 

IOActive

有鑑於未來的機器人服務可能愈來愈普及,資安業者IOActive針對機器人的安全性展開研究,指出駭客可能入侵機器人並要求業者支付贖金,已打造出概念性驗證攻擊程式,且適用於知名的NAO與Pepper機器人上。

傳統的勒索攻擊是駭客加密有價值的資料,並要求支付贖金以解密資料,但機器人通常只是經手資料,通常不會儲存重要資料,因此,駭客的攻擊則是來自於改變機器人的行為,進而要求業者支付贖金。

IOActive說明,機器人的共通特性在於它們並不便宜,售價也許超過1萬美元,再者是萬一它們故障了,簡單地回復出廠預設值並無法修補軟體或硬體問題,而得送回原廠修理,可能要耗時好幾周,造成服務中斷。

IOActive用來示範攻擊的主要對象為深受教育界歡迎的NAO,目前市場上約有1萬台NAO,有鑑於商用的Pepper所使用的作業系統與NAO幾乎一樣,使得相關攻擊亦適用於Pepper,目前Pepper的全球部署數量約為2萬台。不論是NAO或是Pepper皆是來自日本軟體銀行(SoftBank)。

研究人員先開採了機器人系統上的遠端執行漏洞,變更機器的預設操作,關閉管理員功能,挾持機器人的影音能力,再自遠端伺服器傳送指令,在攻擊示範的影片中(下),研究人員讓機器人說出自己被駭了,需要比特幣,還爆粗口。駭客亦可改變工業用機器人的舉止,讓它出現暴力行為。

看起來IOActive研究人員只是入侵了機器人,同時利用機器人進廠維修時間可能長達數周的特性展開勒索,軟體銀行已於今年1月接獲漏洞通知,惟迄今似乎尚未修補。

 

機器人也要比特幣:

 


Advertisement

更多 iThome相關內容