Abo
  • Services:

Roboter: Pepper ist voller Sicherheitslücken

Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.

Artikel veröffentlicht am ,
Pepper ist niedlich, aber unsicher
Pepper ist niedlich, aber unsicher (Bild: Xavier Caré / Wikimedia Commons/CC-BY-SA 4.0)

Der japanische Roboter Pepper der Firma Softbank hat zahlreiche Sicherheitslücken, wie Forscher herausgefunden haben. So ist das Admin-Interface nicht durch eine HTTPS-Verbindung abgesichert, außerdem gibt es hardcodierte Passwörter und veraltete Software.

Stellenmarkt
  1. MBDA Deutschland, Schrobenhausen
  2. Alfred Kärcher SE & Co. KG, Winnenden

Alberto Giaretta, Michele De Donno und Nicola Drgoni von zwei Universitäten aus Schweden und Dänemark hatten den Roboter untersucht und die Probleme gefunden. Eine Untersuchung mit Nmap ergab schnell, dass veraltete Software eingesetzt wird, etwa OpenSSH 6.6 aus dem Jahr 2014, und, aus demselben Jahr, der Nginx-Server in der Version 1.4.7. Weitere automatische Untersuchungen ergaben die Verwendung schwacher Verschlüsselungsalgorithmen für die SSH-Verbindungen. Ebenfalls nicht beachtet wurden die Empfehlungen der OWASP; so ist kein effektiver Schutz gegen Cross-Site-Scripting (XSS) implementiert.

Nutzer können das hardcodierte Root-Passwort ('root') nicht ändern, es ist außerdem im Handbuch abgedruckt. Mit einem normal eingeloggten Nutzer kann also per Eingabe von su ohne Probleme eine Privilege Escalation durchgeführt werden. Auch der fest voreingestellte Nutzer nao für SSH-Verbindungen kann per Wörterbuchangriff trivial angegriffen werden. Rate-Limiting oder andere Sicherheitsmechanismen gibt es demnach nicht.

Alle korrekten Befehle an die API werden akzeptiert

Ebenfalls möglich ist die Fernsteuerung des Roboters ohne vorherige Authentifizierung. Denn Peppers API gibt den Zugriff auf Sensordaten auch dann frei, wenn kein Nutzer authentifiziert ist. Dafür müssen TCP-Pakete an Port 9559 gesendet werden.

Die Eingabe von uname -a zeigt, dass eine veraltete Version des Linuxkernels auf dem Roboter läuft und er für Meltdown und Spectre anfällig ist, weil keine der eingeführten Mitigationen aktiviert ist. Die Untersuchung zeigt, dass zahlreiche triviale Standardverfahren der Qualitätssicherung nicht eingehalten wurden und nicht einmal ein Portscan durchgeführt wurde.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 119,90€
  3. 18,99€
  4. (u. a. Fractal Design Meshfy Light Tint 69,90€)

otraupe 30. Mai 2018

kt

tearcatcher 30. Mai 2018

oh du "schöne" neue Welt #WozuDrohnenWennEsRoboterGibt?

qrunqlus 30. Mai 2018

Die im Text genannten Kritikpunkt sind natürlich alle berechtigt. Soweit mir bekannt...

Local Horst 29. Mai 2018

Danke für die Aufklärung.

xxsblack 29. Mai 2018

Naja, dafür das dieser Kauf in Japan nur kurz ging, scheinen einige Privatpersonen einen...


Folgen Sie uns
       


Samsung Galaxy S10e - Test

Das Galaxy S10e ist das kleinste Modell von Samsungs neuer Galaxy-S10-Reihe - und für uns der Geheimtipp der Serie.

Samsung Galaxy S10e - Test Video aufrufen
Operation 13: Anonymous wird wieder aktiv
Operation 13
Anonymous wird wieder aktiv

Mehrere Jahre wirkte es, als sei das dezentrale Kollektiv Anonymous in Deutschland eingeschlafen. Doch es bewegt sich etwas, die Aktivisten machen gegen Artikel 13 mobil - auf der Straße wie im Internet.
Von Anna Biselli


    Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
    Geforce GTX 1660 im Test
    Für 230 Euro eine faire Sache

    Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

    1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
    2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
    3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

    Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
    Windenergie
    Mister Windkraft will die Welt vor dem Klimakollaps retten

    Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
    Ein Bericht von Daniel Hautmann

    1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
    2. Fistuca Der Wasserhammer hämmert leise
    3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

      •  /