Ponad 50 podatności w oprogramowaniu robotów wykorzystywanych przy pracy z ludźmi może prowadzić do fizycznego zagrożenia życia i zdrowia, a najprostszy atak możliwy jest dzięki wykorzystaniu przepełnienia bufora – donoszą badacze IOActive Labs.
Roboty przemysłowe to nie tylko urządzenia zastępujące pracowników przy wykonywaniu zadań niebezpiecznych bądź trudnych. To również coraz częściej maszyny stworzone do współpracy z człowiekiem przy wykonywaniu zadań, w których czynnik ludzki jest niezbędny. Wyposażone w kamery, mikrofony i czujniki komunikują się z człowiekiem, często również posiadają funkcję "uczenia się" ruchów niezbędnych do wykonywania zadań, do których są przeznaczone. Ich zastosowanie znacznie wykraczapoza przemysł; coraz częściej wykorzystywane są w usługach, pojawiają się także w sprzedaży jako urządzenia domowe.
Roboty współpracujące z człowiekiem to wartościowy z punktu widzenia cyberprzestępców cel ataków. Dwójka badaczy związanych z IOActive Labs znalazła ponad pięćdziesiąt krytycznych podatności stwarzających duże ryzyko ataku na roboty przemysłowe, usługowe i domowe popularnych marek. Wśród podatności wyróżniono m.in. problemy związane z uwierzytelnianiem i bezpieczeństwem protokołów.
Do naruszenia bezpieczeństwa podczas użytkowania robotów tego typu wystarczy wykorzystanie podatności przepełnienia bufora. Według informacji podanych przez badaczy IOActive Labs, dostawcy oprogramowania dla robotów współpracujących, których poinformowano o podatnościach w ich produktach, wciąż nie wydali odpowiednich aktualizacji zabezpieczających przed możliwością ich wykorzystania.
Według badaczy, potencjalny atakujący może wielokrotnie wykorzystać różne podatności w celu modyfikacji ustawień bezpieczeństwa, które w konsekwencji mogą prowadzić do fizycznego zagrożenia dla użytkowników robotów. Badania IOActive Labs wskazują na ryzyko związane z obniżeniem standardów bezpieczeństwa w produkcji tego typu urządzeń; dla przejęcia zdalnej kontroli nad robotem wystarczy wykorzystanie sześciu podatności umożliwiających wyłączenie zabezpieczeń w urządzeniu. Badacze wskazują, że roboty tego typu powinny być projektowane w sposób niepozwalający na modyfikację ustawień systemowych bez przeprowadzenia odpowiedniej oceny ryzyka ze strony dostawcy ich oprogramowania.
Źródło: PAP