Робот позволяет сторонним пользователям получать доступ администраторского уровня, использует в работе подверженный уязвимостям Meltdown и Spectre процессор, имеет пароль администратора по умолчанию. Кроме этого, к нему можно получить доступ через незашифрованный http.

Изучив Pepper, шведские исследователи пришли к выводу, что «удалённо превратить его в кибер- и физическое оружие не составит труда».

Уточняя уязвимости, они отметили, что пароль «по умолчанию» нельзя изменить — более того, он прописан в инструкции. Это позволяет удалённо получить привилегии администратора, обойдя простую защиту. А в панели администратора отсутствует возможность выйти из системы.

«Мы твёрдо уверены, что недопустимо в 2018 году продавать продукты, допускающие такого типа атаки», — отметили исследователи.

Ещё одна из проблем робота — подверженность атакам на подбор пароля (брутфорс-атакам): система не ограничивает количество запросов. А при загрузке файлов конфигурации для «хореографии робота» ПО не проверяет расширения файлов, что позволяет загружать, к примеру, изображения и текстовые файлы.

Наконец, API робота принимает любые запросы, если они выполнены по правилам — независимо от того, кто является отправителем. Благодаря этому хакеры могут получить доступ к микрофонам и камерам устройства.

Читайте также: Boston Dynamics начнёт продажи робособак в 2019 году