欢迎您访问智能家居网
手机浏览中华智能家居网
当前位置: 智能家居网 >选产品 >赛迪机器人报告:多款服务机器人存安全漏洞

赛迪机器人报告:多款服务机器人存安全漏洞

2019-03-18 09:39:18 浏览数:

服务机器人是指除工业机器人之外的、用于非制造业并服务于人类的各种先进机器人,主要包括个人/家用机器人和专用服务机器人两大类。

赛迪机器人报告:多款服务机器人存安全漏洞

国家机器人质量监督检验中心(北京)发布《赛迪机器人3·15 ——小心身边的“机器人”变“击器人”》,通过研究主流公共服务机器人架构设计安全隐患,并对抽测样品进行安全分析与攻击测试,发现被测样品普遍存在信息安全问题。希望通过本报告引起各界对机器人信息安全问题的关注,促进机器人产品及系统信息安全水平整体提升,真正安全可靠服务于人类。

赛迪机器人报告:多款服务机器人存安全漏洞_1

背景

服务机器人应用不断拓展

根据机器人的应用领域,国际机器人联盟(International Federation of Robotics,IFR)将机器人分为工业机器人和服务机器人。其中,服务机器人是指除工业机器人之外的、用于非制造业并服务于人类的各种先进机器人,主要包括个人/家用机器人和专用服务机器人两大类。

赛迪机器人报告:多款服务机器人存安全漏洞_2

▲ 服务机器人分类(根据IFR)

随着人口老龄化趋势加快,劳动人口缩减,人力成本上涨等问题不断出现,服务机器人的市场规模快速扩大,应用场景不断拓展,应用模式不断丰富,机器人性能也在逐步提升,数字化、网络化、智能化将成为服务机器人的重要发展方向,人工智能、区块链、大数据、云计算、物联网等技术的迅猛发展,将与机器人产业进一步深度融合,渗透到更多的生活场景。

机器人能否安全服务于人类,是否会成为伤害人类的凶手或泄密工具?请看以下几个国外研究机构公布的主流服务机器人信息安全漏洞案例。

案例一:IOActive发现Alpha2教育陪伴机器人漏洞

Alpha2教育陪伴机器人,利用其缺乏代码签名机制的漏洞,攻击者可以轻松进入系统、覆盖权限并安装恶意代码,从而控制机器人使其操作工具损害周围物体。

赛迪机器人报告:多款服务机器人存安全漏洞_3

▲ Alpha2被攻击成为可怕的破坏狂(用螺丝刀刺人手中的番茄)

案例二:Check Point安全软件公司发现LG公司的Hom-bot智能扫地机器人漏洞

LG公司的Hom-bot智能扫地机器人,利用其远程登录系统存在的加密漏洞,攻击者可以获得扫地机器人的控制权,劫持内置摄像头,监视用户的个人隐私。  

赛迪机器人报告:多款服务机器人存安全漏洞_4

▲ Hom-bot扫地机器人被攻击成为监视住户隐私的“间谍”

案例三:华盛顿大学仿生机器人实验室发现Raven Ⅱ手术机器人漏洞

Raven Ⅱ手术机器人,由于其遥操作端与执行端的信号通过网络非加密传输,利用中间人攻击手段,可以干扰两端之间的通讯,使得手术机器人最终失去控制,无法执行医生的正常操作,从而影响手术过程,给患者带来极大的安全隐患。  

赛迪机器人报告:多款服务机器人存安全漏洞_5

▲ Raven Ⅱ手术机器人被攻击成为远程“索命”工具

在上述背景下,国家机器人质量监督检验中心(北京)选取目前具有代表性的,已经广泛应用于酒店、餐厅、银行、政务大厅等领域的公共服务机器人进行信息安全研究及攻击测试,通过揭示分析公共服务机器人信息安全问题,引发全社会对机器人信息安全问题的关注,让机器人真正成为人类的帮手。

研究

可能存在十大信息安全风险点

国家机器人质量监督检验中心(北京)研究此类机器人的整体架构设计,列出其可能存在的信息安全风险点:  

赛迪机器人报告:多款服务机器人存安全漏洞_6

▲ 公共服务机器人安全风险点

1、机器人专用控制系统漏洞。利用专用控制系统漏洞,攻击者可以获得控制系统权限,实现对机器人的非法控制,干扰机器人的正常运动。

2、传感器安全风险。攻击者可以对传感器进行干扰,使机器人的导航和避障功能失灵,影响机器人正常运行。

3、接口API漏洞。攻击者可以利用接口API的漏洞,获取、篡改、**机器人的语音信息;或入侵机器人操作系统,获取系统权限,实现对机器人的劫持或敏感数据窃取。

4、Wifi通信安全风险。通讯数据未加密,攻击者可拦截通信传输信号,嗅探、篡改、伪造数据包,非法控制机器人。

5、Android系统与应用漏洞。攻击者可以利用Android系统自身存在的漏洞,实现对操作系统权限的非法获取。此外,由于开发者经常忽略的问题,包括不当的身份认证、信息未加密、密钥未安全存储、日志记录和监控不足等,也会给机器人带来极大的风险隐患。

6、网络摄像头漏洞。攻击者可通过对网络摄像头的劫持,窃取用户隐私、商业机密。

7、USB传输安全风险。攻击者可以通过USB接口植入恶意代码,实现对机器人的非法控制、窃取核心数据;通过ADB调试端口,直接侵入机器人操作系统,非法获得控制权限,实现对机器人的劫持。

8、串口通信安全风险。攻击者可以通过串口非法接入机器人操作系统,进而获得系统权限,实现对机器人的非法控制。

9、总线通信安全风险。攻击者可以通过访问总线接口,对数据进行篡改和伪造,干扰机器人的运动。

10、2.4G网络通信安全风险。攻击者可以使用软件无线电**、篡改数据,实现对机器人的劫持。

测试与试验

被测公共服务机器人均存漏洞

为验证目前公共服务机器人是否存在上述信息安全风险,国家机器人质量监督检验中心(北京)抽取主流公共服务机器人进行测试与试验。(以下测试与试验结果仅对抽测样品有效)

首先,我们通过对这类机器人使用较多的操作系统版本进行了内核源代码漏洞扫描。利用这些漏洞攻击者可以获取系统级访问,进行攻击。  

赛迪机器人报告:多款服务机器人存安全漏洞_7

▲ 机器人操作系统内核源代码漏洞抽测结果

随后,国家机器人质量监督检验中心(北京)按照下图的研究路径,对机器人进行安全分析和攻击测试。  

赛迪机器人报告:多款服务机器人存安全漏洞_8

▲ 安全分析和攻击测试路径

试验结果表明

1、所有被测机器人在进行数据通讯时,均采用明文方式传输数据,没有任何的加密措施。攻击者可以轻易获得数据报文格式,伪造或篡改控制报文。

2、部分被测机器人内置无线AP用于手动控制,利用其弱口令漏洞,可以获得控制报文进而实现非法控制。

3、部分被测机器人没有身份校验机制,通过其开放的端口可以获取配置文件信息,包括机器人wifi用户名、密码、hostname等关键信息,并可直接访问企业的管理后台地址。

4、部分被测机器人未隐藏其激光雷达传感器自带用于远程调试的AP,攻击者可直接访问并篡改激光雷达传感器数据。

5、部分被测机器人基于Windows平台开发人机交互系统,可直接进入或通过未禁用或未做保护的接口进入Windows系统,查看Web服务器配置信息,通过源代码审计发现,机器人控制指令未做代码混淆,能轻易提取出控制指令,且缺乏身份校验机制,攻击者可以直接实现对机器人的劫持。

6、部分被测机器人人机交互系统中,没有对不同的使用者如用户、管理员等按权限设置访问区域,使得任何使用者都可以通过人机交互界面进入Android系统后台并随意开启调试模式、安装第三方应用,获取并利用系统关键资源。

下面视频展示了对机器人进行安全分析和攻击测试并实现非法控制的过程:  

赛迪机器人报告:多款服务机器人存安全漏洞_9

▲ 对机器人进行安全分析和攻击测试,实现非法控制

建议

重视安全隐患 提升信息安全水平

随着服务机器人关键技术的不断更新与发展,服务机器人将呈现智能化、普及化、社会化、多元化等特点,未来服务机器人会涉及到人们日常生活的方方面面。与此同时,服务机器人在信息安全方面可能会出现更多新的隐患或问题,造成人员伤害或隐私泄露等。因此希望主管机构、服务机器人研发企业、用户以及研究和检测机构对机器人信息安全问题引起重视。

国家机器人质量监督检验中心(北京)基于现有研究和测试试验结果提出以下几点建议,以促进机器人产品及系统信息安全水平整体提升,真正安全可靠服务于人类。

1、加强信息安全防护技术研究,提升机器人产品信息安全防护能力,从根源解决机器人信息安全隐患。

2、加快建立机器人信息安全标准体系,开展机器人产品信息安全检测认证及审查工作,定期对机器人生产企业及应用企业开展信息安全检查。

3、建立国家机器人漏洞库,发现收集机器人领域的信息安全漏洞,并对漏洞进行解剖分析,向主管部门提交分析报告,为国产机器人生产及集成应用企业提供安全测评和解决方案。

4、加强机器人信息安全宣传、教育及培训活动,增强全社会对机器人的信息安全防护意识,稳步提升信息安全防护能力。

(文章来源:智家网,侵删)

X 谢谢您提交的加盟信息!

我们将会在一个工作日内给您致电,请保持通话畅通

知道了
X 谢谢您提交的咨询信息!

我们将会在一个工作日内给您致电,请保持通话畅通

知道了
X 谢谢提交!

您的评论已经提交审核

知道了
X 恭喜您提交成功!

稍后会有客服致电与您联系,提供资料包,请保持手机畅通

知道了
X 感谢您提交的信息!

《2024年智能家居行业前景》资料包送给您!

点击提取
X 感谢您提交的信息!

《2024年家居建材加盟攻略》资料包送给您!

点击提取
X 感谢您提交的信息!

《2024年家居建材加盟指导手册》送给您!

点击提取
X 感谢您提交的信息!

《智能家居行业研究报告》资料包送给您!

点击提取

最新加盟留言

  • 30万左右的启动资金,请联系我!

    2024-03-15广东 清远

  • 我对这个项目有兴趣,请问有些什么条件,请联系我!

    2024-03-15福建 厦门

  • 我感兴趣,请与我联系!

    2024-03-15湖南 长沙

  • 有什么要求,没有行业经验,能做吗?请联系我。

    2024-03-15江西 萍乡

  • 我对这个项目有兴趣,请联系我!

    2024-03-15黑龙江 鹤岗

  • 我感兴趣,请与我联系!

    2024-03-15重庆 大足

加盟管家

刘老师

已受理30000+次接待
咨询加盟管家 还可拨打咨询热线:400-061-8777

我对感兴趣

想了解更多加盟信息

X

标签:

智能机器人
阅读上文 >> 云米互联智能门锁Link评测
阅读下文 >> 性价比超小米米家智能锁 云开智能锁最全评测

本文地址:https://www.chinaznj.com/pingce/detail-45335.html

转载本站原创文章请注明来源: 智能家居网

当前有2人正在等待…

  • 湖南邵阳 陈女士 正在与管家 免费通话
  • 陕西榆林 肖女士 正在与管家 免费通话
  • 江苏盐城 张女士 正在与管家 免费通话
  • 河北邢台 金女士 正在与管家 免费通话
  • 广西南宁 刘女士 正在与管家 免费通话
  • 云南保山 张女士 正在与管家 免费通话
  • 湖北孝感 常女士 正在与管家 免费通话
  • 山东临沂 段女士 正在与管家 免费通话
  • 广东佛山 牟女士 正在与管家 免费通话
  • 福建南平 张女士 正在与管家 免费通话

微信“扫一扫”
即可分享此文章

加盟电话:400-061-8777

(智能家居网服务热线电话,仅适用于招商加盟使用)

加盟有风险,投资需谨慎。

免责声明:本站所有页面所展现的企业/商品/服务内容、商标、费用、流程、详情等信息内容均由免费注册用户自行发布或由企业经营者自行提供,可能存在所发布的信息并未获得企业所有人授权、或信息不准确、不完整的情况;本网站仅为免费注册用户提供信息发布渠道,虽严格审核把关,但无法完全排除差错或疏漏,因此,本网站不对其发布信息的真实性、准确性和合法性负责。
本网站郑重声明:对网站展现内容(信息的真实性、准确性、合法性)不承担任何法律责任。

温馨提醒: 智能家居网提醒您部分企业可能不开放加盟/投资开店,请您在加盟/投资前直接与该企业核实、确认,并以企业最终确认的为准。对于您从本网站或本网站的任何有关服务所获得的资讯、内容或广告,以及您接受或信赖任何信息所产生之风险,本网站不承担任何责任,您应自行审核风险并谨防受骗。
智能家居网对任何使用或提供本网站信息的商业活动及其风险不承担任何责任。
智能家居网存在海量企业及店铺入驻,本网站虽严格审核把关,但无法完全排除差错或疏漏。如您发现页面有任何违法/侵权、错误信息或任何其他问题,请立即向智能家居网举报并提供有效线索,我们将根据提供举报证据的材料及时处理或移除侵权或违法信息。联系电话:(+86 731) 85811892 邮箱:tsjb@chinabm.cn

Copyright © 2024 www.chinaznj.com All Rights Reserved 智能家居网 - 品牌传播专业网站 招商加盟优选平台

服务热线:400-061-8777(周一~周六 9:00-18:00 节假日休息) | 传真:0731-89783687ICP备案号: 湘ICP备19007836号-7

x
  • 河北承德 135****7733
    正与招商经理进行[免费通话]
  • 内蒙古包头 130****9459
    正与招商经理进行[免费通话]
  • 河北保定 131****7295
    正与招商经理进行[免费通话]
  • 山西大同 135****4912
    正与招商经理进行[免费通话]
  • 上海静安区 130****6749
    正与招商经理进行[免费通话]
  • 湖北武汉 137****9034
    正与招商经理进行[免费通话]
  • 陕西延安 136****6081
    正与招商经理进行[免费通话]
  • 广西桂林 138****6012
    正与招商经理进行[免费通话]
  • 黑龙江大庆 133****7695
    正与招商经理进行[免费通话]
  • 浙江丽水 134****7591
    正与招商经理进行[免费通话]

免费加盟热线:400-061-8777

x