О журнале | Читать онлайн | Публикации | Электронная газета | Подписка | Мероприятия

Журналы в формате iMag

Форум

Публикации

Архив


Новости проекта

Системная интеграция

Отраслевые

Новости CCTV

Новости СКУД

Новости ОПС

Новости ПБ

Электронная газета "Системы безопасности"


Журнал "Системы безопасности"

Каталог "Системы безопасности"

Каталог "Пожарная безопасность"

Рекламодателям


Video & Vision

СКУД. Антитерроризм


Подписка

Платная подписка

Исторический календарь

Контакты

Ссылки

Мероприятия

English

Популярный антропоморфный робот Pepper от японской компании Softbank подвержен множественным уязвимостям

Реклама на сайте

Популярный антропоморфный робот Pepper от японской компании Softbank подвержен множественным уязвимостям


29.05.2018

Популярный антропоморфный робот Pepper от японской компании Softbank подвержен множественным уязвимостям

 По словам исследователей Альбрето Джаретты (Alberto Giaretta), Микеле Дедонно (Michele De Donno) и Николы Дргони (Nicola Drgoni), из-за уязвимостей робот может превратиться в "физическое и кибероружие".

Pepper оснащен паролем суперпользователя по умолчанию, передает данные в открытом виде по HTTP и работает на базе процессоров с уязвимостями Meltdown и Spectre. С помощью инструментов Ettercap и Wireshark исследователи обнаружили проблемы с безопасностью на странице администрирования. Страница предлагает только одну учетную запись пользователя с логином nao.

Разработчики Pepper попытались реализовать некоторые меры безопасности, ограничив доступ к nao по SSH. Тем не менее, поскольку пароль суперпользователя root является неизменяемым и прописан в инструкции по эксплуатации робота, злоумышленник может отправить с терминала nao команду суперпользователя и получить полный набор привилегий. Кроме того, на панели администрирования отсутствует функция "Выйти".

Исследователи также обнаружили, что робот уязвим к брутфорс-атакам, так как число попыток ввода пароля не ограничено.

Ряд проблем с безопасностью были обнаружены в приложении для управления Pepper под названием Simple Animated Messages (SAM). Как оказалось, SAM не фильтрует расширения файлов и принимает любые файлы с измененными расширениями.

Помимо прочего, Pepper API предоставляет доступ ко всем датчикам робота, камерам, микрофонам и подвижным частям. Робот принимает TCP-пакеты через порт 9559 от любого источника без какой-либо аутентификации. Атакующий может отправлять роботу пакеты по TCP и использовать его камеры и микрофоны для слежки за людьми, прослушивания разговоров, фишинга (например, обманом заставить пользователей предоставить свои персональные данные). Кроме того, злоумышленник может отправлять роботу команды для осуществления действий, которые могут причинить вред имуществу и людям.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

РАССЫЛКА

Подписка на новости сайта
Введите ваш e-mail


Реклама на сайте

ЧИТАТЬ ОНЛАЙН



Свежий номер журнала "Системы безопасности"

Вызов консультанта

ПУБЛИКАЦИИ
Видеонаблюдение
Охранно-пожарная сигнализация
Security and IT Management
Системы контроля и управления доступом
Комплексная безопасность, периметровые системы
В центре внимания. Тесты
ОПС, пожарная безопасность





Рейтинг@Mail.ru

Яндекс цитирования


Реклама на сайте | Правила перепечатки материалов | Медиакиты проектов

Copyright © 2007-2018, ООО "Гротек" | Связаться с нами