元鼎音訊
訂報優惠

小心機器人成凶手!開發機器人搶快上市易有安全漏洞

  • 莊瑞萌
研究人員認為,工業機器人較為龐大,一旦遭駭更容易造成人員傷害。法新社

資安顧問公司IOActive在最新研究報告中指出,機器人所搭載軟體存在基本的安全漏洞,該情形與過去發生在物聯網(IoT)裝置上的無異,容易導致機器人成為有心人士利用的工具,對週遭環境或人士造成傷害。追根究柢,該問題與廠商視推出產品順序優於安全的思維有關。

據PCWorld、Threatpost報導,隨著人類與機器人互動增加與演化後,擴大了威脅範圍。在這次由IOActive技術長Cesar Cerrudo與顧問Lucas Apa執行的研究中,分析了多家供應商應用在機器人身上的行動應用程式(App)、作業系統(OS)、軟體影像與其他軟體,發現其威脅來自於不安全的通訊、認證問題、過弱的加密法與授權機制的缺乏。

受試產品為10款家用、商業與工業用機器人,包括軟銀機器人(SoftBank Robotics)的NAO與Pepper、UBTECH Robotics的Alpha 1S與Alpha 2、ROBOTIS的ROBOTIS OP2與THORMANG3、Universal Robots的UR3、UR5與UR10、Rethink Robotics的Baxter與Sawyer以及採用Asratec推出的V-Sido控制技術的機器人。

雖然並非所有機器人都擁有同樣的漏洞問題,但每個機器人問題數量繁多,因此推論其他未在這次分析的機器人,同樣也會出現類似問題。

Cerrudo指出,機器人與其他連網裝置都擁有同樣的安全缺點。從研究後的機器人可發現,問題包括強度過弱的預先設定,該安全問題容易導致隱私遭竊,或遭受分散式阻斷服務攻擊(Distributed Denial-of-Service;DDoS)。

除此之外,許多測試的機器人軟體、OS與雲端服務也可遠端存取,如透過App或電腦軟體進行控制及編程。存取部分服務也無須認證,儘管需要認證,使用的也是容易瞞過的機制。另外,部分機器人並沒有將已儲存密碼、加密金鑰、第三方服務認證與其他機密資料加密,其餘雖然有試圖保護資料,但加密機制並未妥善執行,更有許多App會在未徵得同意下,傳送用戶詳細資料至遠端服務。如此使得攻擊者可能發動中間人(man-in-the-middle)攻擊或植入有毒指令及軟體更新。

研究人員指出,在這次所分析的機器人平台中,有許多是使用開源軟體架構與函式庫,都容易因為採用明碼通訊、認證問題與過弱的授權機制而出現漏洞。因為機器人社群傾向在開發與程式設計機器人時分享軟體架構、函式庫與作業系統,甚至是備受供應商歡迎的機器人作業系統(Robot Operating System;ROS),但由於軟體環境目前並不安全而易造成問題。

報告也發現另一問題,即機器人從原型進入到產品的時程過於倉促,缺乏任何資安稽核與額外內建保護措施。許多被駭機器人帶來的後果與IoT裝置或電腦被駭一樣,例如可透過麥克風或相機監視、在內部網路伺機發動其他攻擊、暴露個資與儲存的認證資料。

另外,被駭的機器人也可被利用做出突然大動作來破壞物品、傷害人類,甚至起火、開門、解除警報等,而且由於工業用機器人更強大,危險性也比其他種類機器人還大。例如,2015年美國阿拉巴馬州有名婦女因工業機器人突然啟動而意外身亡,另外,電腦化醫療與軍事設備的機器人功能也曾導致人員死亡。

Apa則表示,目前尚未獲悉有何者機器人被駭,但報告中所測試的機器人安全性相當差,未來一旦機器人成為主流後,預期網路犯罪份子將視駭入機器人為獲利的方法。

Apa也指出,雖然大量採用機器人的時程尚不明朗,但根據IDC預期,2020年全球機器人支出將從2016年的915億美元增加到1,880億美元,其中使用機器人將包括消費性及工業以及用在醫療與零售產業的服務機器人。

Cerrudo指出,與IoT等產業類似,由於開發人員面對推出新功能的壓力,而讓安全考量成為事後的考慮,因此,報告建議資安須成為打造機器人第一步時的優先考量,否則等到產品上市後,修補漏洞將更為複雜與昂貴。

另外,供應商也必須確保機器人預先設定是安全的,並確定所有技術供應商是採用資安最佳方案,除此之外,也必須採用安全軟體生命週期(Secure Software Development Life Cycle;SSDLC)流程。