«Такое недопустимо в 2018 году». В популярном роботе от Softbank нашли россыпь уязвимостей
30.05.2018 13:52
—
Разное
|
Исследователи безопасности нашли целый ряд грубых нарушений безопасности в антропоморфном роботе Pepper, который продают в Японии с 2016 года, Робот позволяет сторонним пользователям получать доступ администраторского уровня, использует в работе подверженный уязвимостям Meltdown и Spectre процессор, имеет пароль администратора по умолчанию. Кроме этого, к нему можно получить доступ через незашифрованный http. Изучив Pepper, шведские исследователи пришли к выводу, что «удалённо превратить его в кибер- и физическое оружие не составит труда». Уточняя уязвимости, они отметили, что пароль «по умолчанию» нельзя изменить — более того, он прописан в инструкции. Это позволяет удалённо получить привилегии администратора, обойдя простую защиту. А в панели администратора отсутствует возможность выйти из системы.
Ещё одна из проблем робота — подверженность атакам на подбор пароля (брутфорс-атакам): система не ограничивает количество запросов. А при загрузке файлов конфигурации для «хореографии робота» ПО не проверяет расширения файлов, что позволяет загружать, к примеру, изображения и текстовые файлы. Наконец, API робота принимает любые запросы, если они выполнены по правилам — независимо от того, кто является отправителем. Благодаря этому хакеры могут получить доступ к микрофонам и камерам устройства. Читайте также:
|
|