• IT-Karriere:
  • Services:

Roboter: Pepper ist voller Sicherheitslücken

Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.

Artikel veröffentlicht am ,
Pepper ist niedlich, aber unsicher
Pepper ist niedlich, aber unsicher (Bild: Xavier Caré / Wikimedia Commons/CC-BY-SA 4.0)

Der japanische Roboter Pepper der Firma Softbank hat zahlreiche Sicherheitslücken, wie Forscher herausgefunden haben. So ist das Admin-Interface nicht durch eine HTTPS-Verbindung abgesichert, außerdem gibt es hardcodierte Passwörter und veraltete Software.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg, Chemnitz
  2. Erdgas Südwest GmbH, Ettlingen

Alberto Giaretta, Michele De Donno und Nicola Drgoni von zwei Universitäten aus Schweden und Dänemark hatten den Roboter untersucht und die Probleme gefunden. Eine Untersuchung mit Nmap ergab schnell, dass veraltete Software eingesetzt wird, etwa OpenSSH 6.6 aus dem Jahr 2014, und, aus demselben Jahr, der Nginx-Server in der Version 1.4.7. Weitere automatische Untersuchungen ergaben die Verwendung schwacher Verschlüsselungsalgorithmen für die SSH-Verbindungen. Ebenfalls nicht beachtet wurden die Empfehlungen der OWASP; so ist kein effektiver Schutz gegen Cross-Site-Scripting (XSS) implementiert.

Nutzer können das hardcodierte Root-Passwort ('root') nicht ändern, es ist außerdem im Handbuch abgedruckt. Mit einem normal eingeloggten Nutzer kann also per Eingabe von su ohne Probleme eine Privilege Escalation durchgeführt werden. Auch der fest voreingestellte Nutzer nao für SSH-Verbindungen kann per Wörterbuchangriff trivial angegriffen werden. Rate-Limiting oder andere Sicherheitsmechanismen gibt es demnach nicht.

Alle korrekten Befehle an die API werden akzeptiert

Ebenfalls möglich ist die Fernsteuerung des Roboters ohne vorherige Authentifizierung. Denn Peppers API gibt den Zugriff auf Sensordaten auch dann frei, wenn kein Nutzer authentifiziert ist. Dafür müssen TCP-Pakete an Port 9559 gesendet werden.

Die Eingabe von uname -a zeigt, dass eine veraltete Version des Linuxkernels auf dem Roboter läuft und er für Meltdown und Spectre anfällig ist, weil keine der eingeführten Mitigationen aktiviert ist. Die Untersuchung zeigt, dass zahlreiche triviale Standardverfahren der Qualitätssicherung nicht eingehalten wurden und nicht einmal ein Portscan durchgeführt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Die Sims 4 für 14,80€, Die Sims 4 Nachhaltig Leben für 28,99€, Die Sims 4 Tiny Houses...
  2. 42,99€
  3. 5,49€

pigzagzonie 30. Mai 2018

kt

tearcatcher 30. Mai 2018

oh du "schöne" neue Welt #WozuDrohnenWennEsRoboterGibt?

qrunqlus 30. Mai 2018

Die im Text genannten Kritikpunkt sind natürlich alle berechtigt. Soweit mir bekannt...

Local Horst 29. Mai 2018

Danke für die Aufklärung.

xxsblack 29. Mai 2018

Naja, dafür das dieser Kauf in Japan nur kurz ging, scheinen einige Privatpersonen einen...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
Coronakrise: Die Maske schreibt mit
Coronakrise
Die Maske schreibt mit

Ein Startup aus Japan hat einen intelligenten Mundschutz entwickelt, der die Worte des Trägers aufnehmen, übersetzen und verschicken kann. Ein Problem gibt es aber bei der Zielgruppe.
Ein Bericht von Felix Lill

  1. Coronakrise Unternehmen könnten längerfristig auf Homeoffice setzen
  2. Curevac Tesla baut mobile Moleküldrucker für Corona-Impfstoff
  3. Jens Spahn Bislang 300 Infektionsmeldungen über Corona-Warn-App

Indiegames-Rundschau: Raumschiffknacker im Orbit
Indiegames-Rundschau
Raumschiffknacker im Orbit

Galaktischer Spielspaß in Hardspace Shipbreaker und Space Haven, Zauberei in West of Dead und Wildfire: Das bieten die Indiegames.
Von Rainer Sigl

  1. Rollenspiel Fans übersetzen Disco Elysium ins Deutsche
  2. Indiegames-Rundschau Einmal durchspielen in 400 Tagen
  3. A Maze Berliner Indiegames-Festival sucht Unterstützer

Zukunft in Serien: Realistischer, als uns lieb sein kann
Zukunft in Serien
Realistischer, als uns lieb sein kann

Ältere Science-Fiction-Produktionen haben oft eher unrealistische Szenarien entworfen. Die guten neueren, wie Black Mirror, Years and Years und Upload nehmen hingegen Technik aus dem Jetzt und denken sie weiter.
Von Peter Osteried

  1. Power-to-Liquid Sunfire plant E-Fuels-Produktion in Norwegen
  2. Gebäudetechnik Thyssen-Krupp baut neuen Aufzugsturm
  3. Airbus Elektronische Nasen sollen Sprengstoff aufspüren

    •  /