นักวิจัยพบช่องโหว่ร้ายแรงจำนวนมากบนหุ่น Pepper ของ Softbank อาจถูกนำไปใช้เป็นอาวุธได้

Alberto Giaretta นักวิจัยจาก Örebro University ได้ร่วมมือกับ Michele De Donno และ Nicola Drgoni นักวิจัยจาก Technical University of Sweden ในการค้นหาช่องโหว่ของหุ่นยนต์ Pepper จาก Softbank ซึ่งถูกนำไปใช้งานจริงในอุตสาหกรรมต่างๆ หลากหลายทั่วโลก และพบว่าตัวหุ่นยนต์นั้นมีช่องโหว่ความรุนแรงระดับสูงเป็นจำนวนมาก และอาจถูกผู้ประสงค์ร้ายเจาะโจมตีช่องโหว่เหล่านั้น เพื่อเปลี่ยนหุ่นยนต์ให้กลายเป็นอาวุธได้

 

Credit: https://www.ald.softbankrobotics.com/en/press/gallery/pepper

 

ในงานวิจัยฉบับนี้ได้เปิดเผยช่องโหว่และปัญหาหลายรายการของหุ่นยนต์ Pepper ดังนี้

  • มีช่องโหว่ Meltdown/Spectre ที่ยังไม่ได้ทำการแก้ไข
  • หน้าบริหารจัดการไม่มีการเข้ารหัสข้อมูล ทำให้สามารถดัก Username/Password ได้ โดยมี User เดียวให้ใช้งานได้คือ nao
  • มีการ Hardcode Root Password เอาไว้ว่า root
  • หน้าบริหารจัดการไม่สามารถ Log Off ได้
  • ไม่มีระบบป้องกัน Brute Force Attack เพื่อเดารหัสผ่าน
  • ไม่มีการควบคุมนามสกุลของไฟล์ที่อัปโหลดเข้าไปในตัวหุ่นยนต์
  • API ในการเข้าถึงข้อมูลและควบคุมการทำงานของหุ่นยนต์ไม่มีการยืนยันตัวตนหรือกำหนดสิทธิ์แต่อย่างใด ทำให้ใครๆ ที่เชื่อมต่อไปยัง TCP พอร์ต 9559 ก็สามารถเข้าถึงข้อมูลและควบคุมหุ่นยนต์ได้ เช่น ใช้กล้องและไมโครโฟนในการดักฟัง, หลอกถามคำถามและขโมยข้อมูลจากผู้คน, สั่งหุ่นยนต์ให้สร้างความรุนแรง, สั่งปิดหรือทำ Factory Reset หุ่นยนต์

ในเอกสารงานวิจัยมีระบุเอาไว้ว่าหุ่นยนต์ Pepper ที่เต็มไปด้วยช่องโหว่นี้อาจถูกโจมตีจากระยะไกลเพื่อเจาะระบบและนำไปใช้เป็นอาวุธทั้งในเชิง Cyber และในโลกความเป็นจริงได้ ด้วยการควบคุมและสั่งการให้หุ่นยนต์มีพฤติกรรมในรูปแบบต่างๆ ก็ถือว่าเป็นอีกปัจจัยสำคัญไม่น้อยในการที่เหล่าภาคธุรกิจจะเริ่มนำหุ่นยนต์หรือเครื่องจักรใดๆ มาใช้งาน ก็ต้องให้ความสำคัญด้าน Security ของอุปกรณ์เหล่านี้ด้วย

สำหรับงานวิจัยฉบับเต็ม สามารถอ่านได้ที่ https://arxiv.org/abs/1805.04101 ครับ

 

ที่มา: https://www.theregister.co.uk/2018/05/29/softbank_pepper_robot_multiple_basic_security_flaws/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: TRUSTED THIRD-PARTY RISK MANAGEMENT – Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber

TechTalkThai ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "TRUSTED THIRD-PARTY RISK MANAGEMENT - Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber" เพื่อเรียนรู้โซลูชันการประเมินความเสี่ยงให้องค์กรของท่านจาก SecurityScorecard ทั้งมุมมองภายนอกและ Third party ที่เกี่ยวข้อง

อนาคตของระบบเครือข่ายภายใน Data Center โดย HPE Aruba

ภายในงานสัมมนา TTT Virtual Summit: Enterprise Cloud & Data Center 2022 ที่เพิ่งจบไป คุณไญยวิทย์ กังใจ Presales Consultant …