机器人应该为我们做好事,不坏的东西给我们。
但有大量证据表明,像数十亿弥补事(物联网)的其他互联网连接设备,机器人技术的发展与特点负荷来,但没有太大的安全毯。
更多的证据来在在家用,商用和工业机器人报告安全研究公司IOActive上个月发布的报告发现,其中“大多数”缺乏专家通常所说的“基本安全卫生知识”。
这些问题包括可预测名单:不安全的通信渠道,明文或弱加密发送重要信息,用户名或密码在其他一些服务,弱认证没有要求,以及缺乏足够的授权,以保护重要的功能,比如软件安装或更新。
所有这一切都将允许,“任何人都可以远程轻松地破解机器人,...在这些机器人私自安装软件,并全面掌控他们。”
除此之外,还有隐私问题——移动应用程序在未经用户同意的情况下向远程服务器发送隐私信息,包括“移动网络信息、设备信息和当前的GPS位置”。这些信息可以用于监视和跟踪目的。”
而且,如许多物联网“智能”设备的情况下,他们不够聪明,让它们的主人,关闭一些安全漏洞。
“We found robots with insecure features that couldn’t be easily disabled or protected, as well as features with default passwords that were either difficult to change or could not be changed at all,” wrote the report’s authors, CTO Cesar Cerrudo and Senior Security Consultant Lucas Apa,
被黑机器人损害的范围可以从间谍受伤死亡。Cerrudo和阿帕援引美国劳工部门,它保持列表统计“机器人有关的事件,包括一些已经导致死亡。”
尽管所有这些事件被认为是意外,“类似的事件可能由黑客远程控制的机器人引起的,”他们写道。
其中无有,显然,对于减缓消费者和企业的机器人的胃口。
它仍然是一个相对年轻的行业。报告由成千上万的机器人(IFR)把增长的国际联合会以百万计,而不是数十亿美元。但每年的增长比例是令人印象深刻 - 在25%的范围内。
IFR对2016-19预测销售个人和家庭服务机器人是42000000。它们被用于诸如真空和地面清洗,修剪草坪,娱乐,休闲及老年和残障援助。
它还报告到2019年,超过140万个新的工业机器人将被安装在世界各地的工厂,使总数达到260万。
机器人自动化在工作场所增加了前佛罗里达州州长,共和党总统候选人杰布·布什刚刚过去的这个星期说人应该是“在街上游行,”在没有帮助学生一个“过时”的教育体系要求改革,争夺针对日益复杂的机器人作业。
当然,黑客通过机器人系统松懈的安全措施而引发的一些灾难性事件可能会改变这种状况。目前还没有黑客造成人员伤亡的报道。但是,正如Cerrudo和Apa所指出的,“攻击面”非常广泛。他们报告发现了以下漏洞:
- 麦克风和摄像头
- 网络连接
- 外部服务的交互
- 远程控制应用
- 模块化的可扩展性
- 安全特性
- 主要软件(固件)
- 已知的操作系统
- 网络广告
- 备份
- 连接端口
这一点,他们得出结论,在一定程度上是由于使用开源框架和库大多数机器人。其中最流行的,机器人操作系统(ROS),“从很多已知的网络安全问题,如明文通信,身份验证问题和薄弱授权方案受到影响。”
虽然共享罚款开发和编程,它只有在软件是安全的工作。“不幸的是,这不是这里的情况。”
事实上,Cerrudo在接受采访时说,他和阿帕甚至没有购买他们从大约半打厂商测试的机器人。“我们已取得了不同的组件 - 移动应用程序,固件,操作系统,软件等,他们都可以在互联网上下载,”他补充说,他们提供了机器人的物理部分所有功能。
怎样才能建立更好的安全性变成机器人?专家们普遍认为,它不会没有一些主要诱因来完成,因为市场激励措施得到快速加载有吸引力的功能,以市场尽可能的产物。
安德鲁Ostashen,创始人和首席安全工程师Vulsec指出,修订功能或硬件,“可能推动了产品的交货日期,这可能错失营收成本百万甚至数十亿美元。”
阿帕一致认为,制造商,“一般重点发展营销和物流,而不是安全。”
他说,这是一个相对较新的行业中,典型的“额外的努力,以使自己的产品主流,吸音减震本来可以用于强化他们最初的原型资源的一部分。”
因此,这意味着它会采取由机器人黑客,或者政府干预,安全专家Bruce Schneier的已推广了一段时间的受害者带来了集体诉讼。
施奈尔,IBM的CTO弹性,谁国会敦促政府物联网的监管作证,在最近的博客中写道互联网络发展状况是,“我们正在建设世界规模的机器人,我们甚至没有意识到这一点。”
也就是说,他写道,带来的网络威胁到一个新的水平。“给互联网的手和脚,这将有拳打脚踢的能力,”他写道。
丹尼·利伯曼,软件Associates公司的CTO,同意,说像食品和药品管理局(FDA)监管机构应监督物联网“,在非监管,低风险,中风险和侵入性/高的多层次体系风险设备“。
但他表示,对于这样的模式工作,它必须是从典型的政府官僚很大的不同。
“它必须使用一个完全不同的组织结构,从网上提交一天,分布式批准建有一个非常小的官僚机构。否则,就不会发生,”他说。
Ostashen呼吁政府“即有后果的标准。”
如果制造商不符合标准或使用最佳实践“那么制造商必须支付罚款,”他说,并补充说应该是罚款也征收漏洞,由于安全性差。
Apa表示,他认为政府的参与将“引起消费者和生产者对问题的关注”。
但他说,如果,它只会工作“安全法规的有效实施,从合适的人,并以现实的方式。”
他说,他和Cerruda通知在报告调查的六个机器人供应商和只有四个 - 软银机器人,机器人UBTECH,通用机器人和机器人反思 - 回应,被送往与研究细节的报告。刚一,软银机器人,说他们要解决这些问题,但提出,“何时以及如何他们要做到这一点,有什么问题,他们会解决任何细节,”他说。
“万能机器人说,我们的调查结果很有趣,他们应该做点什么而不给予任何更多的细节,”他补充说。
CSO试图联系所有六家供应商,并获得唯一的从反思机器人的响应 - 一个已经被释放更早其他媒体一份准备好的声明。它说,两位著名的项目是故意设计的功能,只适用于它的机器人的“研究和教育版”。其他项目,“已经为我们所知,并在二月反思的软件版本中解决,”声明说,虽然它提供的声明说,“我们也希望机器人连接到一个安全的企业网络。”
这个故事,“机器人:很多的功能,没有太多的安全”,由最初发表方案 。