機器人現如今作為玩具、陪伴者、客戶助理、醫療服務人員等走進家庭、教育中心、企業以及工業工廠。網絡安全公司 IOActive 2017年對市面上多款智能機器人進行安全測試后發現50多項漏洞。

多家廠商的智能機器人存在安全漏洞

網絡安全公司 IOActive 2017年對市面上十多款智能機器人進行了安全測試，這些機器人來自多家知名制造商，包括日本軟銀機器人公司（SoftBank Robotics）、中國優必選機器人公司（UBTECH Robotics）、韓國 ROBOTIS 公司、丹麥優傲機器人公司（Universal Robots）、美國 Rethink Robotics 公司和軟銀子公司 Asratec Corp。安全人員最終從這些機器人中發現了50多個漏洞，攻擊者可借此通過機器人的麥克風和攝像頭實施監控，竊取數據，甚至造成嚴重的物理傷害。

IOActive 的研究人員警告稱，隨著人類與智能機器人之間的互動不斷加深，新的攻擊途徑和威脅場景也會不斷出現，攻擊者未來可能會利用機器人實施勒索攻擊。

機器人勒索攻擊有何不同？

在傳統的勒索攻擊中，黑客加密有價值的數據，并要求支付贖金解密數據，但機器人通常只是經手數據，不會儲存重要數據，因此，黑客的攻擊一般表現為改變機器人的行為，進而要求受害者支付贖金。

鑒于智能機器人存在以下幾個共同的特性，攻擊者利用機器人成功勒索的幾率較大：

智能機器人價格昂貴；

恢復出廠設置，修復軟件或硬件問題面臨困難；

通常情況下，當機器人發生故障時，必須返廠或請技術人員上門維修，無論是哪種方式，可能需要等上數周的時間才能恢復運作。

如果其中一臺機器人無法正常運作，企業和工廠每秒都會遭受損失。因此，中斷服務或生產可能會是攻擊者的一種策略。攻擊者不需要加密數據，而是瞄準機器人的關鍵軟件組件，讓機器人“罷工”，以此勒索贖金。

軟銀 NAO 機器人勒索攻擊演示過程

IOActive 利用深受歡迎的軟銀 NAO 機器人作為勒索攻擊演示對象。由于 Pepper 機器人與 NAO 的操作系統幾乎一樣，因此研究人員針對 NAO 的 PoC 惡意軟件同樣適用于 Pepper，目前軟銀銷售出去的 Pepper 和 NAO 機器人超過3萬臺。

IOActive 的研究人員在針對一臺 NAO 機器人的 PoC 勒索軟件攻擊演示中證明，惡意攻擊者可控制或破壞這類智能機器人。黑客可利用遠程命令執行漏洞修改機器人的默認操作，禁用管理功能，監控視頻/音頻，并將此類數據發送至命令與控制（C&C）服務器。

黑客同樣可利用該漏洞提權，修改 SSH 設置，修改根密碼禁用遠程訪問，并破壞工廠重置機制防止用戶恢復系統或隔離勒索軟件。

此外，黑客可利用另一個漏洞將自定義 Python 代碼注入 NAO 機器人的 .xar 行為文件。這個漏洞可讓黑客阻止機器人運行，顯示不健康的內容，在機器人與客戶互動時謾罵客戶，甚至做出暴力傷人的舉動等。

IOActive 的研究人員表示，PoC 勒索軟件適用于軟銀的 NAO 和 Pepper 機器人，但這種攻擊可能對每臺存在漏洞的機器人均奏效。

IOActive 發布的演示視頻顯示，研究人員成功篡改了 NAO 機器人的輸出語言，受研究人員控制的這臺機器人稱自己遭遇了黑客入侵，聲稱自己需要比特幣，要么送上比特幣，要么送命。

研究人員呼吁機器人制造商提高產品的安全性，改進機器人的恢復和更新機制，將勒索攻擊威脅風險降到最低。機器人制造商若不快速行動，勒索攻擊可能會讓企業用戶苦不堪言。