Roboter: Pepper ist voller Sicherheitslücken

Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.

Artikel veröffentlicht am ,
Pepper ist niedlich, aber unsicher
Pepper ist niedlich, aber unsicher (Bild: Xavier Caré / Wikimedia Commons/CC-BY-SA 4.0)

Der japanische Roboter Pepper der Firma Softbank hat zahlreiche Sicherheitslücken, wie Forscher herausgefunden haben. So ist das Admin-Interface nicht durch eine HTTPS-Verbindung abgesichert, außerdem gibt es hardcodierte Passwörter und veraltete Software.

Stellenmarkt
  1. Head (m/w/d) of Software Development
    Körber Pharma Packaging GmbH, Schloß Holte-Stukenbrock
  2. IT Security Specialist (m/w/d)
    Amprion GmbH, Dortmund
Detailsuche

Alberto Giaretta, Michele De Donno und Nicola Drgoni von zwei Universitäten aus Schweden und Dänemark hatten den Roboter untersucht und die Probleme gefunden. Eine Untersuchung mit Nmap ergab schnell, dass veraltete Software eingesetzt wird, etwa OpenSSH 6.6 aus dem Jahr 2014, und, aus demselben Jahr, der Nginx-Server in der Version 1.4.7. Weitere automatische Untersuchungen ergaben die Verwendung schwacher Verschlüsselungsalgorithmen für die SSH-Verbindungen. Ebenfalls nicht beachtet wurden die Empfehlungen der OWASP; so ist kein effektiver Schutz gegen Cross-Site-Scripting (XSS) implementiert.

Nutzer können das hardcodierte Root-Passwort ('root') nicht ändern, es ist außerdem im Handbuch abgedruckt. Mit einem normal eingeloggten Nutzer kann also per Eingabe von su ohne Probleme eine Privilege Escalation durchgeführt werden. Auch der fest voreingestellte Nutzer nao für SSH-Verbindungen kann per Wörterbuchangriff trivial angegriffen werden. Rate-Limiting oder andere Sicherheitsmechanismen gibt es demnach nicht.

Alle korrekten Befehle an die API werden akzeptiert

Ebenfalls möglich ist die Fernsteuerung des Roboters ohne vorherige Authentifizierung. Denn Peppers API gibt den Zugriff auf Sensordaten auch dann frei, wenn kein Nutzer authentifiziert ist. Dafür müssen TCP-Pakete an Port 9559 gesendet werden.

Golem Karrierewelt
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
Weitere IT-Trainings

Die Eingabe von uname -a zeigt, dass eine veraltete Version des Linuxkernels auf dem Roboter läuft und er für Meltdown und Spectre anfällig ist, weil keine der eingeführten Mitigationen aktiviert ist. Die Untersuchung zeigt, dass zahlreiche triviale Standardverfahren der Qualitätssicherung nicht eingehalten wurden und nicht einmal ein Portscan durchgeführt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


pigzagzonie 30. Mai 2018

kt

tearcatcher 30. Mai 2018

oh du "schöne" neue Welt #WozuDrohnenWennEsRoboterGibt?

qrunqlus 30. Mai 2018

Die im Text genannten Kritikpunkt sind natürlich alle berechtigt. Soweit mir bekannt...

Local Horst 29. Mai 2018

Danke für die Aufklärung.



Aktuell auf der Startseite von Golem.de
Krypto-Gaming
Spieleentwickler wollen nichts mit NFT zu tun haben

Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
Von Daniel Ziegener

Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
Artikel
  1. Ouca Bikes: E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder
    Ouca Bikes
    E-Lastenrad für eine Viertel Tonne Fracht oder acht Kinder

    Ouca Bikes hat ein elektrisches Lastenrad vorgestellt, das eine Zuladung von rund 250 kg transportieren kann. Das E-Bike fährt auf drei Rädern.

  2. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

  3. Bill Nelson: Nasa-Chef warnt vor chinesischem Weltraumprogramm
    Bill Nelson
    Nasa-Chef warnt vor chinesischem Weltraumprogramm

    Gibt es Streit um den Mond? Nasa-Chef Bill Nelson fürchtet, dass China den Trabanten als militärischen Außenposten für sich haben möchte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€) • The Quarry + PS5-Controller 99,99€ • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /