Der nette Roboter Pepper kann Menschen angreifen

30. Mai 2018, 15:26
  • security
  • lücke
image

Der humanoide Roboter Pepper ist beliebt, weil er so niedlich aussieht und eine technologische Glanzleistung verkörpert.

Der humanoide Roboter Pepper ist beliebt, weil er so niedlich aussieht und eine technologische Glanzleistung verkörpert. Heisst es. Aber Pepper soll eher eine wandelnde Security-Lücke sein, ja eine Gefahr.
Das sagen nicht wir, sondern Forscher von der schwedischen Uni Örebro in einem Security-Assessment. "Wir zeigen, wie extrem einfach es ist, den Roboter zu übernehmen und zu beherrschen", so die Ankündigung der Forscher und dann zeigen sie es auch.
Der Roboter erlaubt nicht authentifizierten Root-Level-Zugriff, basiert auf einem Meltdown/Spectre-anfälligen Prozessor, kann über unverschlüsseltes HTTP remote administriert werden und hat ein Standard-Root-Passwort, das man nur schwer ändern kann. Abgesehen davon wurde die Software nicht aktualisiert. Nicht zuletzt sei uneingeschränkter Datei-Upload in die Applikation "Simple Animated Messages" möglich, mit welcher Pepper sich bewegt und spricht. Auch sei die API "verblüffend unsicher".
Die Folge: Man kann Pepper aus der Ferne dazu nutzen, um Leute mit Kameras auszuspionieren oder mittels indiskreter Fragen. Man kann den 1,20 Meter grossen Pepper auch dazu bringen, "Menschen durch abrupte Bewegung zu verletzen".
So die zentralen Ergebnisse der Forscher über den Roboter, den der Hersteller Softbank als "freundlich, liebenswert und überraschend" verkauft.
Das werden Käufer des laut 'SRF' 20'000 Franken kostenden Roboters nicht gerne hören. Unter diesen finden sich Schweizer Banken und Shopping-Center, aber neuerdings auch Nestlé: Der Konzern will laut Softbank mehr als 1000 Nescafé-Salespoints in Japan durch Pepper betreuen lassen.
Das vernichtende Urteil aus Örebro: "Dies ist ein eklatantes Beispiel für unsere Kernbotschaft: Hersteller sollten Sicherheitsaspekte ihrer Produkte berücksichtigen, bevor sie diese auf dem Markt verkaufen."
Aber gleich ins Elektroschrott-Recycling muss Pepper auch nicht. Die Lücken wären, so die Forscher an die Adresse von SoftBank Robotics, ganz einfach zu beheben. (mag)

Loading

Mehr zum Thema

image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022
image

VMware muss wieder ein böses Loch stopfen

Die Lücke hat den Bedrohungsgrad 9,8 von 10 auf der CVSS-Skala und betrifft mehrere VMware-Produkte.

publiziert am 3.8.2022