Исследователи из IOActive обнаружили, что можно заставить популярных роботов-инфоботов демонстрировать порно в общественных местах, грубить владельцам и вымогать у них деньги.

Пока что соответствующее ПО проверено на роботе NAO компании SoftBank Robotics. Созданием имитации вымогающего ПО активисты хотят привлечь внимание к проблеме: роботы-промоутеры, которых сейчас массово пытаются задействовать в рекламных целях магазины, рестораны, гостиницы и так далее — это уязвимый элемент бизнеса.

Важно понимать, что “злоумышленники” могут намного больше, чем просто выключить робота. Они могут вывести на экран любые картинки или заставить робота делать грубые замечания в адрес клиентов. Если не принять мер против таких типов атак, их можно будет использовать против компаний, пытающихся применять сервисных роботов в бизнесе.

Хотя для эксперимента использовалась учебная платформа NAO, исследователи IOActive утверждают, что точно такой же код может использоваться для самого популярного в мире инфобота Pepper. Сейчас число проданных роботов Pepper составляет около 10 тысяч. Их можно встретить в самых различных заведениях — от закусочных Pizza Hut до салонов оператора Sprint.

В отличие от привычных атак на персональные компьютеры, атака на робота может создавать больше сложностей для его владельца по ряду причин. Во-первых, роботы дорого обходятся, — стоимость владения роботом Pepper составляет порядка $9 тысяч за три года. Кроме того, настройки робота не так просто обнулить до заводских. На сегодня при заражении робота придётся отправить его на предприятие-изготовитель. Это займет немало времени. А поскольку всё это время предприятие будет терять деньги, не исключено, что в ряде случаев люди будут соглашаться на условия вымогателей, стимулируя новые атаки.

Исследование показывает, что проблема возможных взломов роботов весьма серьёзна. Представьте, что взломан “робот для взрослых”, являющийся чьим-то секс-партнёром. Не лучше выглядит ситуация в случае, если злоумышленники получат доступ к телеуправляемым роботам, ухаживающим за пожилыми людьми или лежачими больными. Да и возможность доступа к роботам телеприсутствия, которые участвуют в важных совещаниях или переговорах, тоже вряд ли кого-то порадует.

Это уже не первый случай, когда специалисты выявляют уязвимости в ПО роботов SoftBank. В прошлом году было показано, что роботов можно превратить в шпионское оборудование.

Взлому поддаются также коллаборативные роботы компании Universal Robots. Исследователи могут отключить систему безопасности, которая должна следить за тем, чтобы робот не причинил вреда человеку при возможном соприкосновении с ним. Это возможно потому, что система безопасности робота не выделена из общего ПО робота.
Если не решать подобные проблемы заблаговременно, это поставит под вопрос доверие к безопасности коллаборативных роботов.

В 2017 году активисты IOActive выявили уязвимость робота Alpha2 компании UBTech — робот выглядит игрушкой, но под воздействием зловредного ПО может, например, ударить человека отвёрткой.

Все эти открытия не могут не вызывать вопросов. Вы всё ещё хотите, чтобы в вашей квартире появился домашний робот, способный готовить еду и убирать квартиру, а заодно шпионить за вами или неожиданно атаковать вас? Вполне очевидны риски взлома самоуправляемых робомобилей.

Частичным решением проблемы может стать возможность делать сброс настроек ПО до заводских, стирая вредоносное ПО, которое попало в робота в процессе его эксплуатации. К сожалению, в случае Pepper заводской сброс настроек работает неправильно и не для всех компонентов, — утверждают исследователи из IOActive.

Стратегически важно уделять большее внимание усилению защиты роботов от взлома, но сейчас разработчики, похоже, далеки от этого.

+ +