机器人与IOT设备的安全漏洞困扰 CIO采访:Ian Cohen,Global Cio,Addison Lee Apple面临着亚马逊的强烈竞争 Apple面临着亚马逊的强烈竞争 这是谷歌云支持的为什么每人定价 数字部长表示,AI将在NHS中提高生产力 英格兰银行如何使用Splunk以获得主动安全性 四次收费,包括俄罗斯政府代理商,用于大规模雅虎黑客 Telefonica-Sigfox Pact是各种IOT网络的大量 高级公务员地址Techuk智慧状态主题 Verizon计划今年11个城市的5G试用服务 英国和盟友指责俄罗斯网络攻击运动 U.S. Drops儿童色情案件避免披露Tor漏洞 CIO引发了与Brexit相关的开发人员技能出炸的疑虑 美国面孔限制在雅虎违规者上破坏俄罗斯代理人 商业领袖期望供应商确保他们是网络安全 第一眼:新的LG G6带来了一个新的方面(比率) 启动适用于更安全的碳离子电池 元素AI团队与AI新加坡队伍 东盟公司需要克服Devops障碍 Digital CataPult为AI和机器学习推出道德框架 Mingis关于Tech:MADCAP MWC 2017 RECAP Facebook'不喜欢'按钮 - 仅限Messenger? 政府对科学技术委员会的算法报告 旧的Windows Malware可能篡改了132 Android应用程序 蒂姆厨师的'无处不在的计划'的计划在一起 运输部在数字旅程规划师投资10万英镑 艾伦图灵研究所为AI创业公司提供了与研究人员合作的机会 在机器人学旅行中携带人类的企业最多 Android获取适用于关键的openssl,媒体服务器和内核驱动程序漏洞的补丁 Hyperoptic提高了250万英镑的资金来推出全纤维宽带 欺诈性货币转移是商业电子邮件妥协的最重要目标 比尔盖茨再次成为世界上亿万富翁名单 联想将亚马逊Alexa整合到Moto智能手机 Microsoft的Visual Studio 2017命中普通可用性 全民武馆手游挂机使用教程,全民武馆波斯圣女技能大盘点 少女前线云图计划经验升级挂机,少女前线云图计划工程局升级建议 TSB CEO经过几个月的问题 三星的脱节操作系统策略为用户带来了障碍 LTE速度超速了Home Internet,具有新的Qualcomm和Intel Modems 斯诺登的ex-boss提供了停止内幕威胁的提示 技术国家启动计划展示了英国金融气的丰富性 法庭RPA或缺水 图腾路灯杆将无线与城市街道的电力相结合 爱沙尼亚瞄准英国技术人才 用臂芯片的强大桌面的解剖结构 Facebook股票价格降低增长预测 Reddit Breache暴露2FA缺陷 澳大利亚在谷歌云上的ANZ银行 如何在Windows 10文件资源管理器中禁用广告
您的位置:首页 >计算机基础 >

机器人与IOT设备的安全漏洞困扰

对家庭,企业和工业设施中使用的机器人的分析揭示了IOT设备中常见的许多相同的基本弱点,提高了关于人类安全的安全影响的问题。

机器人行业近年来已经显着增长,只会进一步加速。预计机器人将在许多角色提供服务,从家庭,商店和医疗设施中协助人员,甚至处理安全和执法任务。

“当您认为机器人作为带有手臂,腿或车轮的计算机时,他们成为动态物联网设备,如果被黑客攻击,可以构成我们以前从未遇到过的新严重威胁,”网络安全咨询公司Ioactive在一份新报告中表示。

“随着人机互动改善和发展,新攻击向量出现和威胁情景扩展,”研究人员表示。“机械四肢,外围设备和人类信任扩展了可以利用网络安全问题造成伤害,破坏财产,甚至杀害的领域。

由Ioactive CTO Cesar Cerrudo和高级安全顾问Lucas APA执行的研究,涉及分析来自多个供应商的家庭,商业和工业机器人的移动应用程序,操作系统,固件图像和其他软件。

测试软件组件的机器人:来自SoftBank机器人的Nao和Pepper机器人,来自Ubtech机器人的Alpha 1s和Alpha 2机器人,来自Robotis,UR3,UR5和UR10来自通用机器人的机器人,来自重新思考机器人的百姓和锯盘机器人以及使用来自一家名为Asratec的公司V-Sido机器人控制技术的多个机器人。

研究人员发现,大多数机器人使用不安全的通信,具有身份验证问题,缺少授权方案,使用弱密码术,默认情况下具有弱配置,并使用易受攻击的开源框架和库构建。

虽然没有所有的机器人都有所有这些问题,但每个机器人都有几个,研究人员在他们的报告中说。这导致他们得出结论,评估中未包含的其他机器人可能有许多同样的问题。

有些机器人可以从移动应用中控制,也可以通过安装在计算机上的软件进行编程。其他机器人与基于云的服务进行通信以接收软件更新和应用程序。

如果这些各种组件之间的通信信道不安全和加密,则攻击者可能会潜在地启动中间人攻击并注入在机器人上执行的恶意命令或软件更新。

此外,许多测试的机器人固件和操作系统具有远程访问服务,可提供对不同功能的访问。访问其中一些服务不需要任何身份验证。一些服务需要认证,但使用较弱的机制可以很容易地绕过。

“这是我们发现的最关键的问题之一,允许任何人远程和轻松地破解机器人,”研究人员在其报告中表示。

有些机器人没有加密存储的密码,加密密钥,第三方服务的凭据和其他敏感数据。其他人试图使用加密保护数据,但具有不正确地实现的加密方案。

发现许多随附的移动应用程序被发现将网络,设备和GPS细节等敏感信息发送到无用户同意的远程服务,并且某些机器人“默认配置包括不可思议的功能,这些功能无法容易被禁用或无法更改的默认密码。

一些身份验证,授权和不安全的通信问题是由机器人开发人员共享的开源软件框架,库和操作系统中的漏洞的结果。一个这样的案例是机器人操作系统(ROS),Ioactive研究人员表示,在来自多个供应商的多个机器人中使用的流行操作系统。

研究人员认为另一个问题是,在许多情况下,机器人将从原型跳跃到商业产品的跳跃太快,没有任何网络安全审计和建立的额外保护。

黑客机器人的许多含义类似于黑客的物联网设备或计算机:通过麦克风或摄像机间谍,在内部网络内部提供立足点,以推出其他攻击,曝光个人数据和存储凭证的第三方服务。然而,由于他们的动力学能力,机器人也造成了其他危险。

内部家园,被攻击的机器人可以用来损坏物体并通过突然移动伤害人们。它们可能会启动火灾,解锁门,停用家庭报警等。在商业环境中的黑客机器人可能会出现同样的问题。

工业机器人更加危险,因为它们“重新越来越强大,而且比其他类型的机器人更强大。他们很容易杀死一个人,并且有意发生了人们死亡的事故,因为工业机器人发生故障。

“许多网络安全问题我们的研究可以通过实施知名的网络安全实践来防止,”Ioactive研究人员说。“我们发现有可能以多种方式破解这些机器人,使得了解威胁的大量努力,并在优先考虑受影响的供应商减轻他们的最重要态度。这种知识使我们能够确认我们的初始信念:所有机器人供应商的时间是在确保他们的技术方面采取立即采取行动的时间。“

该研究表明,直到现在机器人供应商在市场上优先考虑在市场上获得产品。这也发生在其他行业中,就像与东西的互联网一样,已经成为一个大安全混乱。

Ioactive研究人员说,如果在产品的生命周期开始时没有考虑到网络安全,修复漏洞是更复杂和昂贵的。“幸运的是,由于机器人采用尚未主流,因此还有时间改进技术并使其更加安全。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。