Anzeige

Pepper Robot Assistant

Quelle: VTT Studio / Shutterstock.com

Der unter anderem in Hotels und auf Flughäfen verbreitete humanoide Roboter "Pepper" des Herstellers Softbank Robotics ist erschreckend leicht zu hacken. Das zeigt eine aktuelle Studie skandinavischer Forscher. Denn bei Pepper bestehen viele gravierende Sicherheitsmängel.

Das umfasst unter anderem eine Administration über eine ungesicherte HTTP-Verbindung und ein schwer zu änderndes Standard-Passwort für den Root-Zugriff. Einziger Lichtblick: Diese Probleme sollen laut den Forschern leicht zu lösen sein.

Verbreitete Sicherheitsrisiko

Etwa 1,20 Meter groß und irgendwie humanoid-niedlich: Damit ist Pepper beliebt und kommt in japanischen Banken, Geschäften und Hotels rund um die Welt sowie auf dem Flughafen München zum Einsatz. Doch die Sicherheit kommt bei dem Roboter zu kurz, warnen Alberto Giaretta von der Örebro University und seine Kollegen von Dänemarks Technischer Universität. Schon in der Vergangenheit gab es demnach vereinzelte Berichte über Pepper-Hacks. Die aktuelle Studie befasst sich nun aber systematisch mit der Sicherheit des Roboters - und zeichnet ein verheerendes Bild.

Pepper bietet Nutzern beispielsweise ein einfaches Web-Interface für administrative Aufgaben. Der Zugriff erfolgt dabei per ungesicherter HTTP- statt verschlüsselter HTTPS-Verbindung, sodass Angreifer leicht Informationen wie Standardnutzer-Zugangsdaten stehlen können. Schlimmer noch, Pepper nutzt ein Standardpasswort für Root-Rechte, das nur relativ schwer zu ändern ist. In vielen Fällen könnte ein Angreifer nach einem Login als normaler User also ganz leicht volle Zugriffsrechte auf den Roboter erlangen. Falls ein Hacker das Passwort für den Standard-User nicht stehlen konnte, macht das eher wenig - denn auch ein Brute-Force-Angriff funktioniert blendend.

Nachbessern am Internet der Dinge

Diese und weitere Lücken zeigen, dass Pepper ähnlich schlecht gesichert ist wie viele andere Geräte im Internet der Dinge. Im Vergleich zu Kameras oder Routern birgt diese Maschine freilich noch größere Risiken. "Ein gehackter Roboter, genutzt beispielsweise im Eigenheim oder schlimmer noch an einem öffentlichen Ort wie einem Flughafen, kann gewaltige Konsequenzen für die Sicherheit von Menschen haben", erklärt das Team. Denn Hacker könnten ihn für virtuelle, aber im Fall eines Roboters auch physische Angriffe missbrauchen.

Das Team betont freilich auch, dass viele Sicherheitsprobleme von Pepper einfach in den Griff zu bekommen wären. Das beginnt schon allein damit, dass für die Admin-Seite eben HTTPS zum Einsatz kommen sollte. Auch gegen Brute-Force-Passwortklau gibt es bewährte, einfache Schutzvorkehrungen. Die Programmierschnittstellen von Pepper müssten freilich grundlegend überarbeitet werden - nicht zuletzt, da sie derzeit auch unauthentifizierten Zugriff leicht machen.

Zur Studie "Adding Salt to Pepper: A Structured Security Assessment over a Humanoid Robot": http://arxiv.org/abs/1805.04101

www.pressetext.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Handschlag

Veronym und CyberDirekt vereinbaren Partnerschaft

Veronym, ein Cloud Security Service Provider, und CyberDirekt, eine digitale Plattform für die Absicherung gewerblicher Cyber-Risiken, werden zukünftig gezielt kleinere und mittelständische Unternehmen mit einem Servicepaket für IT-Sicherheit unterstützen.
Europa-Flagge

Europa braucht eigene Digital-Infrastruktur

Eine breite Allianz aus Wissenschaftlern, IT-Experten und Medienmanagern hat die EU zum Bau einer eigenständigen Digital-Infrastruktur für Europa aufgerufen. Es ist nach Ansicht des Bündnisses «höchste Zeit» für eine Alternative zu den Internetriesen aus den…
Idee Innovation

Deutsche glauben an Erfolg durch neue Technologien

Das Markt- und Meinungsforschungsinstitut YouGov hat im Auftrag der Alibaba Group die Frage untersucht, wie bereit Unternehmensentscheider und Angestellte in Deutschland für neue digitale Technologien im Arbeitsumfeld sind – zum Beispiel Livestreaming, mobile…
Pinterest

Flut an schädlichen Inhalten auf Pinterest versteckt

Die US-Fotocommunity Pinterest verbirgt viele schädliche Inhalte wie Verschwörungstheorien oder sexualisierte Bilder von jungen Mädchen. Die Plattform löscht solchen Content nicht, sondern richtet ihre Suchergebnisse so aus, dass solcher Content im Prinzip…
Produktive Frau am Strand

Berufstätige sind im Sommerurlaub dienstlich erreichbar

Ob Mallorca, Ostseestrand oder Balkonien: 70 Prozent der Berufstätigen, die in diesem Sommer Urlaub machen, sind währenddessen für dienstliche Belange erreichbar.
Start-Up

Weniger Geld für deutsche Start-ups

Die Zahl der Finanzspritzen für Start-ups in Deutschland ist gestiegen, die investierte Summe jedoch gesunken. Zu diesen Ergebnissen kommt eine am Montag veröffentlichte Studie der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY).

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!