Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

นักวิจัยพบช่องโหว่ร้ายแรงจำนวนมากบนหุ่น Pepper ของ Softbank อาจถูกนำไปใช้เป็นอาวุธได้

Alberto Giaretta นักวิจัยจาก Örebro University ได้ร่วมมือกับ Michele De Donno และ Nicola Drgoni นักวิจัยจาก Technical University of Sweden ในการค้นหาช่องโหว่ของหุ่นยนต์ Pepper จาก Softbank ซึ่งถูกนำไปใช้งานจริงในอุตสาหกรรมต่างๆ หลากหลายทั่วโลก และพบว่าตัวหุ่นยนต์นั้นมีช่องโหว่ความรุนแรงระดับสูงเป็นจำนวนมาก และอาจถูกผู้ประสงค์ร้ายเจาะโจมตีช่องโหว่เหล่านั้น เพื่อเปลี่ยนหุ่นยนต์ให้กลายเป็นอาวุธได้

 

Credit: https://www.ald.softbankrobotics.com/en/press/gallery/pepper

 

ในงานวิจัยฉบับนี้ได้เปิดเผยช่องโหว่และปัญหาหลายรายการของหุ่นยนต์ Pepper ดังนี้

  • มีช่องโหว่ Meltdown/Spectre ที่ยังไม่ได้ทำการแก้ไข
  • หน้าบริหารจัดการไม่มีการเข้ารหัสข้อมูล ทำให้สามารถดัก Username/Password ได้ โดยมี User เดียวให้ใช้งานได้คือ nao
  • มีการ Hardcode Root Password เอาไว้ว่า root
  • หน้าบริหารจัดการไม่สามารถ Log Off ได้
  • ไม่มีระบบป้องกัน Brute Force Attack เพื่อเดารหัสผ่าน
  • ไม่มีการควบคุมนามสกุลของไฟล์ที่อัปโหลดเข้าไปในตัวหุ่นยนต์
  • API ในการเข้าถึงข้อมูลและควบคุมการทำงานของหุ่นยนต์ไม่มีการยืนยันตัวตนหรือกำหนดสิทธิ์แต่อย่างใด ทำให้ใครๆ ที่เชื่อมต่อไปยัง TCP พอร์ต 9559 ก็สามารถเข้าถึงข้อมูลและควบคุมหุ่นยนต์ได้ เช่น ใช้กล้องและไมโครโฟนในการดักฟัง, หลอกถามคำถามและขโมยข้อมูลจากผู้คน, สั่งหุ่นยนต์ให้สร้างความรุนแรง, สั่งปิดหรือทำ Factory Reset หุ่นยนต์

ในเอกสารงานวิจัยมีระบุเอาไว้ว่าหุ่นยนต์ Pepper ที่เต็มไปด้วยช่องโหว่นี้อาจถูกโจมตีจากระยะไกลเพื่อเจาะระบบและนำไปใช้เป็นอาวุธทั้งในเชิง Cyber และในโลกความเป็นจริงได้ ด้วยการควบคุมและสั่งการให้หุ่นยนต์มีพฤติกรรมในรูปแบบต่างๆ ก็ถือว่าเป็นอีกปัจจัยสำคัญไม่น้อยในการที่เหล่าภาคธุรกิจจะเริ่มนำหุ่นยนต์หรือเครื่องจักรใดๆ มาใช้งาน ก็ต้องให้ความสำคัญด้าน Security ของอุปกรณ์เหล่านี้ด้วย

สำหรับงานวิจัยฉบับเต็ม สามารถอ่านได้ที่ https://arxiv.org/abs/1805.04101 ครับ

 

ที่มา: https://www.theregister.co.uk/2018/05/29/softbank_pepper_robot_multiple_basic_security_flaws/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] กระทรวงดิจิทัลฯ โดยดีป้า ผนึกกำลังหัวเว่ยฯ เปิดศูนย์ “Thailand 5G Ecosystem Innovation Center (5G EIC)”

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักงานส่งเสริมเศรษฐกิจดิจิทัล (ดีป้า) และ บริษัท หัวเว่ย เทคโนโลยี่ (ประเทศไทย) จำกัด จัดพิธีเปิดศูนย์ Thailand 5G Ecosystem Innovation Center …

5 Session ห้ามพลาดสำหรับ IT Manager และ Mobile Operator กับเรื่อง 5G ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020 copy

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise 5G และ 5G Networking เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้