Исследователи безопасности нашли целый ряд грубых нарушений безопасности в антропоморфном роботе Pepper, который продают в Японии с 2016 года, пишет The Register.
Робот позволяет сторонним пользователям получать доступ администраторского уровня, использует в работе подверженный уязвимостям Meltdown и Spectre процессор, имеет пароль администратора по умолчанию. Кроме этого, к нему можно получить доступ через незашифрованный http.
Изучив Pepper, шведские исследователи пришли к выводу, что «удалённо превратить его в кибер- и физическое оружие не составит труда».
Уточняя уязвимости, они отметили, что пароль «по умолчанию» нельзя изменить — более того, он прописан в инструкции. Это позволяет удалённо получить привилегии администратора, обойдя простую защиту. А в панели администратора отсутствует возможность выйти из системы.
«Мы твёрдо уверены, что недопустимо в 2018 году продавать продукты, допускающие такого типа атаки», — отметили исследователи.
Ещё одна из проблем робота — подверженность атакам на подбор пароля (брутфорс-атакам): система не ограничивает количество запросов. А при загрузке файлов конфигурации для «хореографии робота» ПО не проверяет расширения файлов, что позволяет загружать, к примеру, изображения и текстовые файлы.
Наконец, API робота принимает любые запросы, если они выполнены по правилам — независимо от того, кто является отправителем. Благодаря этому хакеры могут получить доступ к микрофонам и камерам устройства.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.