1920年，捷克作家K.凱比克在一本科幻劇中首次提出“機(jī)器人”這一名詞。

這一來自于工業(yè)文明時(shí)代的概念，充斥著人類以科技封神的狂放野望。在全世界迥異的神話體系中，神依照自身的形態(tài)造人，而后賦予靈性；機(jī)器人則是人類以造物主自居的產(chǎn)物。對于機(jī)器人，人類總抱著兩種矛盾的態(tài)度，既渴望駕馭它的全知、強(qiáng)大與不朽，又畏懼它超人的力量反掌便可覆滅文明的火種。

然而，對于機(jī)器人的種種擔(dān)憂似乎已經(jīng)近在眼前。

雷鋒網(wǎng)消息，最近在新加坡舉行的安全技術(shù)大會(huì)——Hack in the Box 上，來自 IOActive 的安全專家 Lucas Apa 以及首席技術(shù)官 Cesar Cerrudo，現(xiàn)場展示了他們針對三大流行機(jī)器人的黑客攻擊，包括消費(fèi)級機(jī)器人Alpha2、NAO（Pepper），以及體量更大的 Universal Robots 工業(yè)機(jī)器手臂。

試想一下，平時(shí)圍繞在你身邊乖巧執(zhí)行命令的機(jī)器人，若是被人操控，變成黑客的眼線、耳目，甚至化身殺戮機(jī)器，可不可怕？

嚶嚶嚶，工業(yè)機(jī)器人大鐵拳錘你胸口？

建筑工地、醫(yī)院、銀行、航空公司、商場......似乎你所想象到的任何場景都有了這些機(jī)器人的身影。研究公司IDC的數(shù)據(jù)顯示，2020年，機(jī)器人及相關(guān)服務(wù)方面的支出將比現(xiàn)在翻一番，達(dá)1880億美元。

對于這些沒有思維的工業(yè)機(jī)器人來說，堅(jiān)決執(zhí)行編程指令就是使命，他們并不關(guān)心執(zhí)行誰的命令，那如果是黑客的呢？

據(jù) IOActive 公布的最新研究顯示，他們調(diào)查了 Universal Robots 生產(chǎn)的 UR 系列機(jī)器人，發(fā)現(xiàn)了一組尚未修補(bǔ)的漏洞，包括“控制協(xié)議中的認(rèn)證問題、對物理攻擊的敏感性、內(nèi)存損壞漏洞以及不安全的通信傳輸。”該團(tuán)隊(duì)在 2016 年 1 月向這家公司披露過他們的擔(dān)憂，還在 7 月發(fā)布了一段相關(guān)視頻，并在在博文中詳細(xì)闡述了方法。

實(shí)時(shí)視頻演示顯示，他們使用一種稱為“緩沖區(qū)溢出”的常見安全漏洞來獲得未經(jīng)授權(quán)的機(jī)器人手臂操作系統(tǒng)的訪問權(quán)限，并覆蓋修改后的“safety.conf”文件，以此限制機(jī)器人的運(yùn)動(dòng)速度，甚至在當(dāng)紅外線傳感器檢測到附近的人時(shí)機(jī)器人會(huì)伸長手臂給你一拳。

這可不是小拳拳捶你胸口，這一下怕是會(huì)骨折。

所以，是否黑客輕而易舉就能黑掉那些工業(yè)機(jī)器人呢？

綠盟科技的安全工程師 M 提供了相關(guān)思路。

把大象裝進(jìn)冰箱需要三步，黑掉一個(gè)機(jī)械臂也只需要三步。

1. 先要發(fā)現(xiàn)或建立一個(gè)遠(yuǎn)程入侵通道。這是入侵的前提條件之一。通過藍(lán)牙、Wi-Fi或者網(wǎng)絡(luò)連接到將要入侵的機(jī)器人使用的操作系統(tǒng)。

2. 獲取機(jī)器人的控制權(quán)限。研究機(jī)器人的操作系統(tǒng)或應(yīng)用軟件，嘗試發(fā)現(xiàn)漏洞，利用發(fā)現(xiàn)的漏洞獲得機(jī)器人的控制權(quán)限。若未發(fā)現(xiàn)機(jī)器人存在上述漏洞，則可嘗試破解控制機(jī)器人的通訊協(xié)議（當(dāng)前有部分機(jī)器人的關(guān)鍵通訊指令沒有加密）。

3. 開啟機(jī)器人破壞模式。在遠(yuǎn)程掌握了機(jī)器人控制權(quán)限或者破解了機(jī)器人的通訊協(xié)議的基礎(chǔ)上，發(fā)送惡意控制指令遠(yuǎn)程控制機(jī)器人。

顯而易見，如果機(jī)器人存在安全漏洞，而漏洞又被心存破壞的黑客發(fā)現(xiàn)是多么危險(xiǎn)的一件事。

“機(jī)器人本身就是一門跨學(xué)科的技術(shù)，因此機(jī)器人的安全研究與傳統(tǒng)安全漏洞研究的區(qū)別是其與工控、機(jī)器人基礎(chǔ)知識(shí)、通訊（包括藍(lán)牙、Wi-Fi 等有線和無線通訊技術(shù)）協(xié)議、操作系統(tǒng)平臺(tái)、傳感器技術(shù)等結(jié)合緊密，”M 表示。

除了前期研究漏洞，在發(fā)現(xiàn)疑似漏洞后需要對機(jī)器人固件進(jìn)行調(diào)試，從而驗(yàn)證漏洞的存在性和獲得系統(tǒng)的控制權(quán)限。當(dāng)然，對硬件進(jìn)行調(diào)試需要獲得一個(gè)調(diào)試接口，如果網(wǎng)口一時(shí)難以突破，可以嘗試從串口開始突破。

串口突破的目的有兩個(gè)：

1.  提取固件。一般的機(jī)器人都是不公開固件的，我們通過機(jī)器人的BootLoader漏洞從串口提取固件。然后對提取到的固件進(jìn)行逆向和分析，從而更容易的發(fā)現(xiàn)漏洞。有時(shí)候還能發(fā)現(xiàn)更敏感信息，例如：廠家的后門密碼。

2. 調(diào)試固件。一般來說，嵌入式系統(tǒng)的開發(fā)人員都是通過串口來進(jìn)行固件調(diào)試的。這個(gè)調(diào)試接口既方便了開發(fā)人員，也為黑客研究固件漏洞提供了不少幫助。通過串口獲取系統(tǒng)的本地調(diào)試接口，和網(wǎng)絡(luò)發(fā)包結(jié)合，從而加速調(diào)試固件的漏洞的進(jìn)程。

這么看來，機(jī)器人的漏洞也不是很難找。那到底工業(yè)機(jī)器人的操作系統(tǒng)有多少漏洞呢？

其實(shí)，漏洞并不多。

“工業(yè)機(jī)器臂的大腦是PLC——可編程控制器，它是一個(gè)數(shù)字式的電子裝置，是一臺(tái)計(jì)算機(jī)，專為工業(yè)環(huán)境應(yīng)用設(shè)計(jì)的計(jì)算機(jī)。這種情況下，尋找的就是 PLC 漏洞?！盡 說道。

雷鋒網(wǎng)了解到，PLC的操作系統(tǒng)多使用 linux，VxWorks等操作系統(tǒng)，或者直接定制操作系統(tǒng)。其相對運(yùn)行的服務(wù)較少，開放的遠(yuǎn)程端口較少，因此 PLC 的漏洞相比Android 漏洞要少的多。

以ABB為例，其產(chǎn)品被紕漏出來的全部漏洞也僅有下圖的幾個(gè)。

PLC 漏洞常見的是權(quán)限類漏洞、弱密碼硬編碼類漏洞、WEB 頁面獲取權(quán)限漏洞等，其中重放攻擊漏洞在 PLC 中也比較常見，緩沖區(qū)溢出漏洞實(shí)際上并不多見。

緩沖區(qū)溢出漏洞與 PLC 的操作系統(tǒng)和應(yīng)用軟件都有一定的關(guān)系，越是常見的操作系統(tǒng)，越容易發(fā)生緩沖區(qū)溢出問題。但是 PLC 用的操作系統(tǒng)都比較冷門或者 PLC 的公司自己設(shè)計(jì)的操作系統(tǒng)，甚至有的 PLC 連操作系統(tǒng)也沒有；另外，在 PLC 內(nèi)部固件編寫時(shí)，如果不注意遵守安全的編碼原則，容易出現(xiàn)安全問題，留下緩沖區(qū)溢出的隱患。操作系統(tǒng)提供一些保護(hù)手段，例如：ASLR,  NX ( Windows 平臺(tái)上稱其為 DEP ) 等技術(shù)來增加應(yīng)用軟件在漏洞溢出時(shí)的利用難度，但遇到高手還是可以突破的。

在緩沖區(qū)漏洞利用的時(shí)候，可能是操作系統(tǒng)提供的一個(gè)內(nèi)部服務(wù)開放遠(yuǎn)程通訊的端口有漏洞；也可能是應(yīng)用軟件開的端口存在漏洞。不過，上面這些都需要研究者的經(jīng)驗(yàn)和通過耐心細(xì)致的調(diào)試才能發(fā)現(xiàn)可以利用的漏洞。

消費(fèi)級機(jī)器人正在監(jiān)視你？

似乎相比上文的大塊頭，身處我們周遭的各種消費(fèi)級人形機(jī)器人顯得可愛得多。

但，如果是這樣，

或者是，這樣，

還可愛......嗎？

康力優(yōu)藍(lán) CEO 劉雪楠表示，相比多存在于工廠或特定場景與人接觸較少的工業(yè)級機(jī)器人，滲透到家庭及商用環(huán)境的服務(wù)型機(jī)器人一但被黑客操縱，造成的影響更可怕。

IOActive 的研究報(bào)告顯示，軟銀 NAO 和 Pepper 兩種機(jī)器人可能因?yàn)楹诳腿肭侄蔀殚g諜設(shè)備，用于收集各種未經(jīng)加密的視頻和音頻數(shù)據(jù)，并進(jìn)行遠(yuǎn)程傳輸。

此外，他們還發(fā)現(xiàn)中國公司優(yōu)必選（UBTech）出售的機(jī)器人Alpha2 所運(yùn)行的 Android 操作系統(tǒng)，沒有使用代碼簽名（code-signing）機(jī)制，這是一種防止流氓軟件安裝的安全措施。Alpha2 還沒有對通信連接進(jìn)行加密，這讓黑客可以使用“中間人攻擊”來注入惡意引用程序。

聽起來就有點(diǎn)怕怕呢~

“機(jī)器人的操作系統(tǒng)是 Linus 和 Android，黑客想要操作機(jī)器人動(dòng)作就類似于黑掉一只沒有防護(hù)措施的 Android 手機(jī)。在獲取機(jī)器人的控制權(quán)后，若是想要監(jiān)視監(jiān)聽則更是簡單，直接調(diào)用攝像頭和麥克風(fēng)的通訊接口或者用機(jī)器人公司提供的軟件就可以了?！盡 表示。

機(jī)器人雖然還在你的家里，靈魂已經(jīng)是別人的了。

為什么眾多機(jī)器人缺乏安全措施呢？

這并非單獨(dú)現(xiàn)象，對于機(jī)器人公司來說，迅速上市搶占市場似乎比動(dòng)用大量人力物力設(shè)置安全措施更吸引人。

那么動(dòng)輒耗費(fèi)大量人力資金的安全設(shè)置究竟有多復(fù)雜？

以代碼簽名機(jī)制為例，代碼簽名機(jī)制主要針對應(yīng)用程序。簡單來說包括兩種技術(shù)：非對稱算法和數(shù)字簽名，其主要目的就是防止應(yīng)用程序被修改。

雷鋒網(wǎng)了解到，一般來說，廠家可以給機(jī)器人安裝軟件，但某些廠家沒有給系統(tǒng)開啟代碼簽名機(jī)制，當(dāng)黑客取得系統(tǒng)權(quán)限后，上傳的惡意程序就會(huì)運(yùn)行。如果開啟代碼簽名機(jī)制后，黑客所用的軟件內(nèi)簽名審核不通過，其所使用的軟件不能正常運(yùn)行，系統(tǒng)也就多了一份保障。具體可參考關(guān)于iOS簽名機(jī)制的理解。

而另一種中間人攻擊，實(shí)際就是劫持。

“假設(shè)我建立了一個(gè)WiFi，讓機(jī)器人連接。而機(jī)器人的關(guān)鍵通訊如果沒有加密，采用明文傳輸，那么我就可以獲取這些信息并進(jìn)行修改，冒充正常指令，實(shí)際發(fā)送惡意指令給機(jī)器人。”馬良談到。

當(dāng)然，所謂的加密措施不僅是設(shè)置密碼這么簡單。

數(shù)據(jù)加密算法有很多種，每種加密算法的加密強(qiáng)度各不相同。目前存在兩種基本的加密體制：對稱密鑰加密和非對稱密鑰加密。

感興趣的童靴可以在度娘上搜索一下~

那么，需要擔(dān)心嗎？

回到這次的新聞，作為此次被黑的幾位機(jī)器人主角在隨后都通過媒體作出回應(yīng)，表示“已經(jīng)全面解決了相關(guān)問題”、“不需要擔(dān)心”、“正在密切監(jiān)測潛在風(fēng)險(xiǎn)”。

但 Apa 和 Cerrudo 則表示，并沒有發(fā)現(xiàn)問題已經(jīng)解決的跡象。

不過也并不需要太悲觀，攻與防向來是一對你來我往的冤家，黑客無孔不入的攻擊也會(huì)引起機(jī)器人公司對安全措施的加強(qiáng)。

當(dāng)然，視頻中令人毛骨悚然的機(jī)器人捅西紅柿也只是為了增強(qiáng)表現(xiàn)出來的破壞力而專門設(shè)計(jì)的動(dòng)作，諸位童靴不必害怕。

畢竟視頻來源于生活，也高于生活~

劉雪楠也透露了目前公司旗下的機(jī)器人產(chǎn)品已經(jīng)在硬件中采取了加密芯片，對機(jī)器人的運(yùn)動(dòng)控制進(jìn)行了防范。另外，對于機(jī)器人的智能語言、對話等方面，也采取了云平臺(tái)防控。

不過，這些都還只是起點(diǎn)，對于機(jī)器人的安全防護(hù)似乎有很長一段路要走。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。