工业协作机器人可遭远程攻击

▌作者：Eduard Kovacs

▌翻译：360代码卫士团队

前言

安全公司IOActive的研究人员展示了远程攻击者如何攻击工业协作机器人并修改器安全设置，结果可能会伤害到附近的人类操作者。

存在50多个漏洞

几个月前，IOActive发布了一份简短报告，重点描述了其针对机器人网络安全研究。研究人员分析了来自六家厂商即SoftBankRobotics、UBTECHRobotics、ROBOTIS、Universal Robots、Rethink Rebotics和Asratec Corp的工业和商业机器人。研究人员对它们的移动app、软件和固件粗略分析后发现了近50个漏洞如跟通信、验证、授权机制、密码、隐私、默认配置和开源组件相关的弱点。

当时，研究人员告警称这些漏洞可被用于监控并窃取敏感数据，而工业机器人甚至可以伤害人类。目前他们共享了技术详情并通过视频演示了其中的一些研究成果。

远程利用漏洞更改安全设置等

工业协作机器人跟人类操作者共享工作空间，并协助人类处理多种任务。跟传统执行重复性任务的工业机器人不同，协作机器人能够学习新的动作、透过摄像头“看人”并通过麦克风“听音”。

工业协作机器人不仅用于工业环境，研究人员还用于工业自动化的工业建模。研究人员展示了远程攻击者如何组合六个漏洞更改来自UniversalRobots的UR机器人的安全设置，禁用紧急功能，从而给人类生命造成威胁（视频请见原文）。

虽然某些机器人制造商已采取措施解决这些问题，但有些厂商认为风险并不大且并未发布补丁。RethinkRobotics公司在2月已修复漏洞，但UR尚未处理。

IOActive公司并非唯一一个分析工业机器人的安全公司。趋势科技公司和米兰理工大学几个月前发表了关于工业机器人的网络风险论文，并告警称某些机器可遭受直接来自互联网的攻击。

目前，特斯拉和SpaceX的首席执行官伊隆·马斯克和100多名机器人和人工智能创业家联合上书联合国，呼吁采取行动阻止发展机器人武器。