黑客用勒索软件攻击机器人 损失更甚攻击PC

安全咨询公司IOActive最近发起了一场测试性质的概念攻击，通过勒索软件来对大公司进行攻击。这次攻击并没有在公司或个人电脑上加密文件获取数据，相反研究人员攻击了另一种新形势的计算机，也就是机器人。机器人现在在汽车制造、医疗等许多领域都有很深层次的运用，破坏这些机器人的工作环境，可以让大公司每一秒都损失一大笔钱。

一个攻击矢量依赖于机器人如何处理数据，尽管它们通常包含内部存储组件，但大多数由机器人处理的数据仍大规模传输。这就意味着机器人接收、处理数据，然后将数据发送回存储源中。这些数据可以包含高清视频、音频、客户的支付信息以及如果执行当前任务的说明。

研究人员表示：“在支付赎金之前，攻击者可以将目标锁定在关键机器人的组件上，而不是对数据进行加密处理。”

为了证明自己的理论，研究人员将自己的攻击重点放在了NAO机器人上。这是一种主要在研究和教学领域使用的高度化机器人，在全球范围内的使用量大约有1万部。它的操作系统以及相关漏洞与软银的Pepper机器人有些相似，都是面向商业的机器人。已近累计在2000个企业的2万多个部门中部署。就算是Sprint这样的大型企业也已经开始使用Pepper来帮助服务人员进行销售与指导。

攻击的最开始是利用一个没有记录的功能，允许任何人远程执行命令。在此之后，研究人员禁用管理功能，更改了机器人的默认功能，并将所有视频和音频信息发送到网络远程服务器上。其他步骤包括提高用户权限、破坏工厂重置机制、并感染所有行为文件。换句话说，它们会让机器人觉得很不舒服，甚至是“身体”上的损害。

通过对机器人的劫持，黑客可以完全中断服务，导致企业在每一秒钟都损失金钱。他们甚至可以强迫机器人向顾客展示露骨的色情内容，在一对一的互动中咒骂顾客，或者进行暴力活动。扭转这种行为的唯一方法就是屈服于黑客，因为最终支付赎金的成本可能比修理费用更低。

考虑到隐私和亲密关系的情况，这种局面甚至适用于性爱机器人。用户可能会把钱花在给黑客上支付酬金上，而不是打电话给技术支持直接联系客服，并安排客服来修理。

“其实联系客服售后的价格并不便宜，”报告称。“工厂重新设置或修复软件和硬件问题并不容易。通常情况下，当一个机器人出现故障时，你必须把它还给工厂或者雇技术人员来修理它。不管怎样，你可能要等上几周才能恢复正常使用的状态。”