Abo
  • Services:

Roboter: Pepper ist voller Sicherheitslücken

Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.

Artikel veröffentlicht am ,
Pepper ist niedlich, aber unsicher
Pepper ist niedlich, aber unsicher (Bild: Xavier Caré / Wikimedia Commons/CC-BY-SA 4.0)

Der japanische Roboter Pepper der Firma Softbank hat zahlreiche Sicherheitslücken, wie Forscher herausgefunden haben. So ist das Admin-Interface nicht durch eine HTTPS-Verbindung abgesichert, außerdem gibt es hardcodierte Passwörter und veraltete Software.

Stellenmarkt
  1. Dataport, Hamburg
  2. MailStore Software GmbH, Viersen

Alberto Giaretta, Michele De Donno und Nicola Drgoni von zwei Universitäten aus Schweden und Dänemark hatten den Roboter untersucht und die Probleme gefunden. Eine Untersuchung mit Nmap ergab schnell, dass veraltete Software eingesetzt wird, etwa OpenSSH 6.6 aus dem Jahr 2014, und, aus demselben Jahr, der Nginx-Server in der Version 1.4.7. Weitere automatische Untersuchungen ergaben die Verwendung schwacher Verschlüsselungsalgorithmen für die SSH-Verbindungen. Ebenfalls nicht beachtet wurden die Empfehlungen der OWASP; so ist kein effektiver Schutz gegen Cross-Site-Scripting (XSS) implementiert.

Nutzer können das hardcodierte Root-Passwort ('root') nicht ändern, es ist außerdem im Handbuch abgedruckt. Mit einem normal eingeloggten Nutzer kann also per Eingabe von su ohne Probleme eine Privilege Escalation durchgeführt werden. Auch der fest voreingestellte Nutzer nao für SSH-Verbindungen kann per Wörterbuchangriff trivial angegriffen werden. Rate-Limiting oder andere Sicherheitsmechanismen gibt es demnach nicht.

Alle korrekten Befehle an die API werden akzeptiert

Ebenfalls möglich ist die Fernsteuerung des Roboters ohne vorherige Authentifizierung. Denn Peppers API gibt den Zugriff auf Sensordaten auch dann frei, wenn kein Nutzer authentifiziert ist. Dafür müssen TCP-Pakete an Port 9559 gesendet werden.

Die Eingabe von uname -a zeigt, dass eine veraltete Version des Linuxkernels auf dem Roboter läuft und er für Meltdown und Spectre anfällig ist, weil keine der eingeführten Mitigationen aktiviert ist. Die Untersuchung zeigt, dass zahlreiche triviale Standardverfahren der Qualitätssicherung nicht eingehalten wurden und nicht einmal ein Portscan durchgeführt wurde.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 4,25€

otraupe 30. Mai 2018 / Themenstart

kt

tearcatcher 30. Mai 2018 / Themenstart

oh du "schöne" neue Welt #WozuDrohnenWennEsRoboterGibt?

qrunqlus 30. Mai 2018 / Themenstart

Die im Text genannten Kritikpunkt sind natürlich alle berechtigt. Soweit mir bekannt...

Local Horst 29. Mai 2018 / Themenstart

Danke für die Aufklärung.

xxsblack 29. Mai 2018 / Themenstart

Naja, dafür das dieser Kauf in Japan nur kurz ging, scheinen einige Privatpersonen einen...

Kommentieren


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Urheberrrecht: Etappensieg für Leistungsschutzrecht und Uploadfilter
Urheberrrecht
Etappensieg für Leistungsschutzrecht und Uploadfilter

Trotz aller Proteste: Der Rechtsausschuss des Europaparlaments votiert für ein Leistungsschutzrecht und Uploadfilter. Nun könnte das Plenum sich noch dagegenstellen.

  1. Leistungsschutzrecht Nur Einschränkungen oder auch Chancen?
  2. Vor Abstimmung 100 EU-Abgeordnete lehnen Leistungsschutzrecht ab
  3. Urheberrecht EU-Staaten für Leistungsschutzrecht und Uploadfilter

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

    •  /