Исследование: Почти любой промышленный робот может напасть на человека
Программные компоненты промышленных роботов подвержены множественным уязвимостям самого разного рода, заявили эксперты IOActive. Некоторые позволяют использовать роботов для промышленного шпионажа, другие – для того, чтобы брать их под удаленный контроль. Реакция со стороны разработчиков этого оборудования пока что вялая.
Взять под контроль
Промышленные роботы обладают большим количеством уязвимостей, вплоть до таких, которые позволяют поставить их под удаленный контроль. Таковы выводы исследования, которое провела компания IOActive, чьи эксперты изучали программные компоненты для роботов шести крупных производителей.
Напрямую с самими роботами исследователи не работали, зато тщательно изучили программные компоненты, в том числе, оболочки и мобильные приложения. Результаты оказались весьма неутешительными.
Предметом исследования стали разработки компаний SoftBank Robotics (роботы NAO и Pepper), Ubtech Robotics (Alpha 1S и Alpha 2), Robotis (Robotis OP2 и Thormang3), Universal Robots (UR3, UR5 и UR10), Rethink Robotics (Baxter и Sawyer), а также система управления роботами Asratec Corp V-Sido.
В общей сложности исследователи выявили почти 50 программных уязвимостей, связанных с самыми разными аспектами работы с этими машинами: обнаружены проблемы с коммуникациями, авторизацией самой по себе и ее механизмами, шифрованием, хранением личных данных пользователей, предустановленными настройками и компонентами с открытым кодом.
Выяснилось, в частности, что уязвимости предоставляют злоумышленникам как минимум гипотетическую возможность использовать камеры и микрофоны роботов для шпионажа, в то время как другие баги допускают захват контроля над устройством и использования его для причинения физического ущерба.
«Сделайте что-нибудь»
Эксперты IOActive воздержались от открытой публикации подробного технического анализа выявленных уязвимостей. Вся информация передана разработчикам роботов в надежде, что те примут меры по исправлению ошибок.
Однако пока, как указывает технический директор IOActive Сезар Серрудо, лишь один из производителей — SoftBank Robotics — однозначно пообещал исправить погрешности, и еще один — Universal Robots — пообещал «что-нибудь сделать».
За последние годы произошло несколько инцидентов с неисправными промышленными роботами, которые приводили к физическому ущербу или даже гибели людей. Среди недавних примеров — гибель 22-летнего работника на заводе Volkswagen в Германии в 2015 г., убитого роботом. Обстоятельства инцидента туманны: по некоторым сведениям, причиной гибели могла стать ошибка другого оператора.
«В результатах исследования IOActive нет ничего неожиданного, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор Безопасности". — Как и в случае с интернетом вещей и "умными" автомобилями, производители промышленных роботов делают акцент на функциональности самих устройств и сопутствующих компонентов, например, мобильных приложений, но не уделяют достаточного внимания безопасности программных компонентов, что может приводить к самым драматичным последствиям».