นักวิจัยพบช่องโหว่ร้ายแรงจำนวนมากบนหุ่น Pepper ของ Softbank อาจถูกนำไปใช้เป็นอาวุธได้

Alberto Giaretta นักวิจัยจาก Örebro University ได้ร่วมมือกับ Michele De Donno และ Nicola Drgoni นักวิจัยจาก Technical University of Sweden ในการค้นหาช่องโหว่ของหุ่นยนต์ Pepper จาก Softbank ซึ่งถูกนำไปใช้งานจริงในอุตสาหกรรมต่างๆ หลากหลายทั่วโลก และพบว่าตัวหุ่นยนต์นั้นมีช่องโหว่ความรุนแรงระดับสูงเป็นจำนวนมาก และอาจถูกผู้ประสงค์ร้ายเจาะโจมตีช่องโหว่เหล่านั้น เพื่อเปลี่ยนหุ่นยนต์ให้กลายเป็นอาวุธได้

ในงานวิจัยฉบับนี้ได้เปิดเผยช่องโหว่และปัญหาหลายรายการของหุ่นยนต์ Pepper ดังนี้

• มีช่องโหว่ Meltdown/Spectre ที่ยังไม่ได้ทำการแก้ไข
• หน้าบริหารจัดการไม่มีการเข้ารหัสข้อมูล ทำให้สามารถดัก Username/Password ได้ โดยมี User เดียวให้ใช้งานได้คือ nao
• มีการ Hardcode Root Password เอาไว้ว่า root
• หน้าบริหารจัดการไม่สามารถ Log Off ได้
• ไม่มีระบบป้องกัน Brute Force Attack เพื่อเดารหัสผ่าน
• ไม่มีการควบคุมนามสกุลของไฟล์ที่อัปโหลดเข้าไปในตัวหุ่นยนต์
• API ในการเข้าถึงข้อมูลและควบคุมการทำงานของหุ่นยนต์ไม่มีการยืนยันตัวตนหรือกำหนดสิทธิ์แต่อย่างใด ทำให้ใครๆ ที่เชื่อมต่อไปยัง TCP พอร์ต 9559 ก็สามารถเข้าถึงข้อมูลและควบคุมหุ่นยนต์ได้ เช่น ใช้กล้องและไมโครโฟนในการดักฟัง, หลอกถามคำถามและขโมยข้อมูลจากผู้คน, สั่งหุ่นยนต์ให้สร้างความรุนแรง, สั่งปิดหรือทำ Factory Reset หุ่นยนต์

ในเอกสารงานวิจัยมีระบุเอาไว้ว่าหุ่นยนต์ Pepper ที่เต็มไปด้วยช่องโหว่นี้อาจถูกโจมตีจากระยะไกลเพื่อเจาะระบบและนำไปใช้เป็นอาวุธทั้งในเชิง Cyber และในโลกความเป็นจริงได้ ด้วยการควบคุมและสั่งการให้หุ่นยนต์มีพฤติกรรมในรูปแบบต่างๆ ก็ถือว่าเป็นอีกปัจจัยสำคัญไม่น้อยในการที่เหล่าภาคธุรกิจจะเริ่มนำหุ่นยนต์หรือเครื่องจักรใดๆ มาใช้งาน ก็ต้องให้ความสำคัญด้าน Security ของอุปกรณ์เหล่านี้ด้วย

สำหรับงานวิจัยฉบับเต็ม สามารถอ่านได้ที่ https://arxiv.org/abs/1805.04101 ครับ

ที่มา: https://www.theregister.co.uk/2018/05/29/softbank_pepper_robot_multiple_basic_security_flaws/