正在阅读: 赛迪提醒:小心身边的“机器人”变“击器人”
首页> 科技频道> 综合新闻 > 正文

赛迪提醒:小心身边的“机器人”变“击器人”

来源:光明网-科技频道2019-03-15 16:14

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

赛迪提醒:小心身边的“机器人”变“击器人”

  发布报告

  15 March 2019

  国家机器人质量监督检验中心(北京)发布《赛迪机器人3·15 ——小心身边的“机器人”变“击器人”》,通过研究主流公共服务机器人架构设计安全隐患,并对抽测样品进行安全分析与攻击测试,发现被测样品普遍存在信息安全问题。希望通过本报告引起各界对机器人信息安全问题的关注,促进机器人产品及系统信息安全水平整体提升,真正安全可靠服务于人类。

  背景

  服务机器人应用不断拓展

  根据机器人的应用领域,国际机器人联盟(International Federation of Robotics,IFR)将机器人分为工业机器人和服务机器人。其中,服务机器人是指除工业机器人之外的、用于非制造业并服务于人类的各种先进机器人,主要包括个人/家用机器人专用服务机器人两大类。

赛迪提醒:小心身边的“机器人”变“击器人”

服务机器人分类(根据IFR)

  随着人口老龄化趋势加快,劳动人口缩减,人力成本上涨等问题不断出现,服务机器人的市场规模快速扩大,应用场景不断拓展,应用模式不断丰富,机器人性能也在逐步提升,数字化、网络化、智能化将成为服务机器人的重要发展方向,人工智能、区块链、大数据、云计算、物联网等技术的迅猛发展,将与机器人产业进一步深度融合,渗透到更多的生活场景。

  机器人能否安全服务于人类,是否会成为伤害人类的凶手或泄密工具?请看以下几个国外研究机构公布的主流服务机器人信息安全漏洞案例。

  案例一:IOActive发现Alpha2教育陪伴机器人漏洞

  Alpha2教育陪伴机器人,利用其缺乏代码签名机制的漏洞,攻击者可以轻松进入系统、覆盖权限并安装恶意代码,从而控制机器人使其操作工具损害周围物体。

赛迪提醒:小心身边的“机器人”变“击器人”

Alpha2被攻击成为可怕的破坏狂(用螺丝刀刺人手中的番茄)

  案例二:Check Point安全软件公司发现LG公司的Hom-bot智能扫地机器人漏洞

  LG公司的Hom-bot智能扫地机器人,利用其远程登录系统存在的加密漏洞,攻击者可以获得扫地机器人的控制权,劫持内置摄像头,监视用户的个人隐私。

赛迪提醒:小心身边的“机器人”变“击器人”

Hom-bot扫地机器人被攻击成为监视住户隐私的“间谍”

  案例三:华盛顿大学仿生机器人实验室发现Raven Ⅱ手术机器人漏洞

  RavenⅡ手术机器人,由于其遥操作端与执行端的信号通过网络非加密传输,利用中间人攻击手段,可以干扰两端之间的通讯,使得手术机器人最终失去控制,无法执行医生的正常操作,从而影响手术过程,给患者带来极大的安全隐患。

赛迪提醒:小心身边的“机器人”变“击器人”

RavenⅡ手术机器人被攻击成为远程“索命”工具

  在上述背景下,国家机器人质量监督检验中心(北京)选取目前具有代表性的,已经广泛应用于酒店、餐厅、银行、政务大厅等领域的公共服务机器人进行信息安全研究及攻击测试,通过揭示分析公共服务机器人信息安全问题,引发全社会对机器人信息安全问题的关注,让机器人真正成为人类的帮手。

  研究

  可能存在十大信息安全风险点

  国家机器人质量监督检验中心(北京)研究此类机器人的整体架构设计,列出其可能存在的信息安全风险点:

赛迪提醒:小心身边的“机器人”变“击器人”

公共服务机器人安全风险点

  1

  机器人专用控制系统漏洞。利用专用控制系统漏洞,攻击者可以获得控制系统权限,实现对机器人的非法控制,干扰机器人的正常运动。

  2

  传感器安全风险。攻击者可以对传感器进行干扰,使机器人的导航和避障功能失灵,影响机器人正常运行。

  3

  接口API漏洞。攻击者可以利用接口API的漏洞,获取、篡改、监听机器人的语音信息;或入侵机器人操作系统,获取系统权限,实现对机器人的劫持或敏感数据窃取。

  4

  Wifi通信安全风险。通讯数据未加密,攻击者可拦截通信传输信号,嗅探、篡改、伪造数据包,非法控制机器人。

  5

  Android系统与应用漏洞。攻击者可以利用Android系统自身存在的漏洞,实现对操作系统权限的非法获取。此外,由于开发者经常忽略的问题,包括不当的身份认证、信息未加密、密钥未安全存储、日志记录和监控不足等,也会给机器人带来极大的风险隐患。

  6

  网络摄像头漏洞。攻击者可通过对网络摄像头的劫持,窃取用户隐私、商业机密。

  7

  USB传输安全风险。攻击者可以通过USB接口植入恶意代码,实现对机器人的非法控制、窃取核心数据;通过ADB调试端口,直接侵入机器人操作系统,非法获得控制权限,实现对机器人的劫持。

  8

  串口通信安全风险。攻击者可以通过串口非法接入机器人操作系统,进而获得系统权限,实现对机器人的非法控制。

  9

  总线通信安全风险。攻击者可以通过访问总线接口,对数据进行篡改和伪造,干扰机器人的运动。

  10

  2.4G网络通信安全风险。攻击者可以使用软件无线电监听、篡改数据,实现对机器人的劫持。

  测试与试验

  被测公共服务机器人均存漏洞

  为验证目前公共服务机器人是否存在上述信息安全风险,国家机器人质量监督检验中心(北京)抽取主流公共服务机器人进行测试与试验。(以下测试与试验结果仅对抽测样品有效)

  首先,我们通过对这类机器人使用较多的操作系统版本进行了内核源代码漏洞扫描。利用这些漏洞攻击者可以获取系统级访问,进行攻击。

赛迪提醒:小心身边的“机器人”变“击器人”

机器人操作系统内核源代码漏洞抽测结果

  随后,国家机器人质量监督检验中心(北京)按照下图的研究路径,对机器人进行安全分析和攻击测试。

赛迪提醒:小心身边的“机器人”变“击器人”

安全分析和攻击测试路径

  试验结果表明

  1、对机器人使用较多的操作系统版本进行内核源代码漏洞扫描,存在多项紧急、高危甚至可提权漏洞,攻击者可通过这些漏洞获取系统级访问,进行攻击。

  2、所有被测对象均采用未加密的明文方式传输数据,攻击者可以轻易获得数据报文格式,伪造或篡改控制报文。

  3、部分被测对象内置无线AP,利用其弱口令漏洞,可以获得控制报文进而实现非法控制。

  4、部分被测机器人未隐藏其激光雷达传感器自带用于远程调试的AP,攻击者可直接干扰传感器数据。

  5、部分被测机器人没有身份校验机制,通过其开放的端口可以获取配置文件信息甚至可直接访问企业的管理后台地址。

  6、部分基于Windows平台开发的被测机器人,可直接进入或通过未禁用或未做保护的接口进入其Windows系统,并获得源码信息,且其控制指令未作代码混淆,缺乏身份校验机制,攻击者可以直接实现对机器人的劫持。

  7、部分被测机器人没有对使用者划分权限,任何使用者都可通过人机交互界面进入Android系统后台并开启调试模式、安装第三方应用,获取并利用系统关键资源等。

  下面视频展示了对机器人进行安全分析和攻击测试并实现非法控制的过程:

赛迪提醒:小心身边的“机器人”变“击器人”

对机器人进行安全分析和攻击测试,实现非法控制

  建议

  重视安全隐患 提升信息安全水平

  随着服务机器人关键技术的不断更新与发展,服务机器人将呈现智能化、普及化、社会化、多元化等特点,未来服务机器人会涉及到人们日常生活的方方面面。与此同时,服务机器人在信息安全方面可能会出现更多新的隐患或问题,造成人员伤害或隐私泄露等。因此希望主管机构、服务机器人研发企业、用户以及研究和检测机构对机器人信息安全问题引起重视。

  国家机器人质量监督检验中心(北京)基于现有研究和测试试验结果提出以下几点建议,以促进机器人产品及系统信息安全水平整体提升,真正安全可靠服务于人类。

  1

  加强信息安全防护技术研究,提升机器人产品信息安全防护能力,从根源解决机器人信息安全隐患。

  2

  加快建立机器人信息安全标准体系,开展机器人产品信息安全检测认证及审查工作,定期对机器人生产企业及应用企业开展信息安全检查。

  3

  建立国家机器人漏洞库,发现收集机器人领域的信息安全漏洞,并对漏洞进行解剖分析,向主管部门提交分析报告,为国产机器人生产及集成应用企业提供安全测评和解决方案。

  4

  加强机器人信息安全宣传、教育及培训活动,增强全社会对机器人的信息安全防护意识,稳步提升信息安全防护能力。

  声明

  1. 本文所描述的信息安全问题为目前服务机器人行业普遍存在的共性问题,文中图片所涉及公共服务机器人仅为展示示例,不具有针对性;

  2. 除上述公共服务机器人外,应用较为广泛的工业机器人、物流机器人、医疗机器人、家用机器人、教育娱乐机器人、无人机等都可能存在信息安全风险及漏洞,国家机器人质量监督检验中心(北京)会持续开展机器人信息安全技术研究,关注并推动信息安全标准体系建设、信息安全检测认证及审查制度建立,辅助提升我国机器人行业信息安全水平;

  3. 感谢中科院软件所和四维创智团队的支持。(煜 佳

赛迪提醒:小心身边的“机器人”变“击器人”

[ 责编:武玥彤 ]
阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 印尼东部洪灾死亡人数上升至79人

  • 山东青岛候鸟迁徙过境胶州湾 成壮观过境潮

独家策划

推荐阅读
人们相信,随着技术不断迭代更新,未来的人工智能会像电和水一样无所不在,颠覆和变革各个行业,应用场景将更加广泛。
2019-03-19 10:57
国际期刊《神经元》报道了浙江大学医学院基础医学系徐晗教授团队利用自主构建的小鼠模型,在前额叶皮层发现一条导致小鼠社交恐惧行为的新神经环路。
2019-03-19 09:33
2019年被称为中国的5G元年,根据工业和信息化部发布的消息,5G产品有望今年下半年上市。目前,我国25个省(区、市)正在进行5G网络试点。
2019-03-19 09:30
记者近日从中国航天科工集团三院获悉,该院提出基于临近空间太阳能无人机来构建空中局域网的飞云工程,可实现对地和对海面用户大范围长时间通信保障。
2019-03-19 09:23
美国机器智能研究院奠基人尤德科夫斯基提出了“友好人工智能”的概念,认为“友善”从设计伊始就应当被注入机器的智能系统中。
2019-03-19 09:23
联名呼吁中写道:首先应该确定一个时间段,在此期间不允许任何生殖系细胞的基因编辑在临床上进行应用。
2019-03-19 09:23
截至目前,飞云工程顺利完成了多架次自主飞行验证,成功开展了基于空基平台的通信应用验证,取得阶段性成果。
2019-03-19 09:23
分析研究发现,约7000年前,甘蓝型油菜由地中海地区白菜品种里的欧洲芜菁,和苤蓝、花菜、西兰花、中国芥蓝等4种甘蓝的共同“祖先”杂交合成。
2019-03-19 09:22
记者近日从中国航天科工集团三院获悉,该院提出基于临近空间太阳能无人机来构建空中局域网的飞云工程,可实现对地和对海面用户大范围长时间通信保障。
2019-03-19 09:22
美国西雅图艾伦人工智能(AI)研究所的一项最新分析称,中国在AI领域的大规模投资有助其在重要的AI相关技术研究方面超越美国,中国有望在不久的将来成为AI领域的全球领跑者。
2019-03-19 09:22
科学家分析了英国3662名老人的情况,结果显示在50岁及以上的人中,每天收看电视超过3.5个小时可能与言语记忆力下降相关。
2019-03-19 09:21
由于目前负极材料的能量密度远大于正极,正极材料就成为了“木桶的短板”——锂离子电池的能量密度下限取决于正极材料,所以提高能量密度就要不断升级正极材料。
2019-03-19 09:21
神经元好比神经环路中的“红绿灯”,当“绿灯”PV神经元正常工作时会抑制兴奋性神经元的活性,从而防止社交恐惧的发生。
2019-03-19 09:20
德国弗劳恩霍夫模具和成型技术研究所(IWU)的工程师开发出一套全新3D打印系统,其速度超高——打印速度比传统3D打印技术快8倍,且能以低成本打印出坚韧的塑料零部件。
2019-03-19 09:20
经自然资源部批准,为时255天、航程约22000海里的中国大洋54航次考察任务18日正式启动。
2019-03-19 09:19
全国首只克隆警犬“昆勋”从2018年12月19日出生至今,各项健康指标正常,近日已运抵昆明进行专业训练。
2019-03-19 09:17
日前,宁夏回族自治区人民政府印发了《关于优化科研管理提升科研绩效若干措施的通知》,围绕科研领域“放管服”提出十八条改革措施,充分激发科研人员创新创业活力。
2019-03-19 09:16
本航次计划分为5个航段执行,至11月下旬结束,总时间达255天,总航程约22000海里。
2019-03-19 09:15
位于肯尼亚首都内罗毕的中—非联合研究中心,是中国在境外建设的第一个大型综合性科教机构,经过5年多发展,中心已成为中国与非洲在生物多样性保护、生态环境监测、现代农业示范等领域开展科技合作与人才培养的重要平台。
2019-03-19 09:14
当前,我国网信领域要求采用自主可控技术、产品、服务、系统的呼声越来越高,这里的“自主可控”强调的就是可控性。
2019-03-19 09:09
加载更多