你可能在餐厅里见过它们,长着猫脸的机器人在餐桌之间穿梭,送餐上菜。这些机器人,其中许多是由全球最大的商用服务机器人公司普渡机器人制造的,它们是我们日常生活中日益壮大的自动化助手队伍的一部分。
从著名的BellaBot到清洁消毒机器人,Pudu的机器遍布全球餐厅、医院、酒店和办公室,服务着数百万人。但最近的一项发现揭示了一个惊人的漏洞:任何拥有一点技术知识的人都可以控制这些机器人。
网络安全研究员“BobDaHacker”发现Pudu的机器人管理API存在一个严重缺陷:缺乏适当的身份验证检查。
该系统需要有效的身份验证令牌,但却忽略了验证用户是否拥有控制机器人的必要权限。结果,几乎所有 Pudu 机器人,无论是餐厅里的 BellaBot 还是公司办公室里的 FlashBot,都暴露在未经授权的控制之下。
该漏洞允许未经授权的用户:
- 查看任意机器人的通话记录。
- 创建新任务并控制他们不拥有的机器人。
- 更新机器人设置,包括其名称和行为。
- 列出与全球任何商店相关的所有机器人。
滥用的可能性巨大且令人担忧。在餐厅环境中,黑客可以改变 BellaBot 的路线,让其将食物送到自己的餐桌而不是正确的餐桌;在繁忙的晚餐服务期间取消所有机器人任务;或者让机器人绕着餐厅播放音乐,制造混乱。
此事的影响远不止餐馆。Pudu 的 FlashBot 配备了机械臂,能够使用电梯,可以被远程控制访问办公室内的机密文件,导航到其他楼层,并将其交给未经授权的个人。
在更具破坏性的场景中,攻击者可以劫持整个机器人队伍,索要赎金以恢复正常运行。攻击者甚至可以在机器人屏幕上显示用于付款的二维码。
在医疗保健领域,这些风险尤其令人担忧。Pudu机器人在医院用于运送药品以及清洁消毒。
恶意行为者可能会改变药品配送方向、将清洁机器人送入无菌手术室或对消毒机器人进行编程以跳过关键区域,从而对患者安全构成直接威胁。
发现这些缺陷后,研究人员于 8 月 12 日试图向 Pudu Robotics 报告。但该公司的销售、支持和技术团队发送的电子邮件均未得到回复。
8月21日,该公司向50多名员工发送了后续邮件,但仍然没有收到回复。数周以来,这些漏洞一直未得到解决,而机器人仍在敏感环境中继续运行。
由于缺乏回应,研究人员感到沮丧,于是采取了他们所谓的“核选项”。他们联系了Pudu的一些最大客户,包括在日本经营着7000多家餐厅的Skylark Holdings,以及另一家大型连锁餐厅运营商Zensho。研究人员解释说,任何人都可以控制他们设施内的机器人。
在通知这些客户后的 48 小时内,Pudu Robotics 做出了回应(似乎是由人工智能生成的),感谢研究人员的“负责任的披露”,并表示他们的安全团队“已迅速调查了该问题”。
回复中甚至还包含发件人电子邮件地址的占位符,表明回复过程仓促且模板化。两天后,所有报告的漏洞都得到了修复。
随着这些机器人越来越融入我们的生活,在医院、学校和各种公共场所的弱势群体周围运行,确保他们的安全不仅是技术需要,也是一项基本责任。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
