Warnung vor einem "Skynet": Schwere Sicherheitslücken in Robotern aufgedeckt

March 6, 2017 - 12:15 am in Security

[ad_1]

Die IT-Sicherheitsfirma IOActive hat die Systeme einiger Assistenz- und Industrieroboter wie Pepper oder Baxter untersucht und ist dabei auf zahlreiche offene Flanken für selbst einfache Hackerangriffe gestoßen.

Die Produkte mehrerer großer Roboterhersteller weisen schwerwiegende Sicherheitsprobleme auf. Dies schreibt die IT-Sicherheitsfirma IOActive aus Seattle in einem am Mittwoch veröffentlichten Bericht über Hackerangriffe. Sie sei schon bei eher oberflächlichen Tests auf fast 50 gravierende Schwachstellen bei Fabrikaten von 5 Produzenten und einem Systemhaus gestoßen. IOActive warnt: Wenn die Menschheit künftig mächtige Technik rund um die Künstliche Intelligenz (KI) mit derart unsicheren Robotern kombiniere, “scheint das Skynet-Szenario der berühmten Terminator-Filme plötzlich nicht mehr so weit hergeholt wie einst”.

Roboterhersteller kümmerten sich bisher zu wenig um IT-Sicherheit

“Erfolgreich” inspiziert haben die Sicherheitstester nach eigenen Angaben Endprodukte beziehungsweise Systemkomponenten der Firmen Softbank, Ubtech, Robotis, Universal Robot, Rethink Robotics und Asratec. Letztere entwickelt unter anderem die Kontrollsoftware V-Sido, die in mehreren Robotersystemen eingesetzt wird. Die drei ersten sind etwa mit Pepper oder Alpha 1S und 2 im Geschäfts- und Heimmarkt unterwegs, die beiden anderen stellen Industrieroboter wie Baxter oder Sawyer her.

Die vollen technischen Details der Hacks haben die Experten in ihrer “ersten Veröffentlichung” zu dem Bereich nicht preisgegeben. Die Ergebnisse seien an die betroffenen Verkaufsfirmen gegangen, damit diese die Lücken beheben könnten. Die Verfasser des Papiers listen aber allgemein einige Schwachstellen auf, die nahelegen, dass die Roboterhersteller mit Internetsicherheit bislang wenig am Hut hatten und Grundanforderungen der IT-Sicherheit nicht beachteten.

Der Bericht verweist etwa auf vielfach genutzte “unsichere Kommunikationswege” etwa über das Internet, Bluetooth oder WLAN. Darüber würden “kritische Informationen im Klartext oder mit schwacher Verschlüsselung” versandt. Einige der Roboter würden sich auch mit dem Netz verbinden, indem sie Daten unverschlüsselt und ohne sonstigen Schutz zu Herstellerdiensten oder in die Cloud schickten.

Keine Authentifizierung

Dazu kämen etwa “Authentifizierungsprobleme”. Einige wesentliche Services der Maschinen hätten nicht einmal nach einem Nutzernamen oder Passwort verlangt, sodass sich jeder aus der Ferne Zugang dazu verschaffen könne. Gab es einen Login-Prozess, sei dieser teils einfach zu umgehen gewesen. Die meisten der geprüften Systeme seien so eingestellt gewesen, dass ein Angreifer Applikationen und sogar Betriebssystemsoftware installieren und volle Kontrolle über die damit verknüpften Geräte erlangen konnte. Das sei auch ein Desaster für den Datenschutz, da Nutzer mithilfe von Netzwerk-, Geräte- oder Standortinformationen überwacht werden könnten.

Problematisch sei auch, dass Forscher und “Enthusiasten” in der Robotergemeinde die gleichen oder sehr ähnliche Werkzeuge, Software und Designprinzipien verwendeten und etwa in Form des “Robot Operating System” (ROS) austauschten. Auf diesem Weg verbreiteten sich auch vorhandene Schwachstellen besonders leicht. Dazu komme, dass aus Forschungsprojekten häufig kommerzielle Produkte würden, ohne dass die IT-Sicherheit nachgebessert werde.

Vergrößerte Angriffsflächen

Mikrofone und Kameras, Netzwerk- und Interaktionsfähigkeiten oder Schnittstellen für andere Geräte vergrößerten die Angriffsflächen. Eine gehackte autonome Maschine schließlich könne so lange Unheil anrichten, bis der Akku alle sei. Prinzipiell seien Roboter Computer; da sie zusätzlich häufig über Arme, Beine oder Räder verfügten, wüchsen damit aber die Handlungsfähigkeiten sowie die Bedrohungen aus Security-Sicht exponentiell an. Am gefährlichsten seien dabei gehackte Androiden, die im Militär oder bei der Polizei verwendet würden.

IOActive hofft, dass der Bericht als Weckruf für Roboterproduzenten dient und diese den Sektor IT-Sicherheit endlich ernst nehmen. Ein Sprecher von Rethink wies die Vorwürfe gegenüber der New York Times zurück. Zwei der von den Experten kritisierten Funktionen seien Entwicklungen allein für den Forschungs- und Bildungsmarkt gewesen, andere Schwachstellen seien mittlerweile beseitigt worden. Die anderen genannten Hersteller wollen sich kurzfristig nicht zu dem Thema äußern. (anw)

[ad_2]

Read more on: Source

WLAN-Anrufe: O2 schaltet Multicard-Nutzer frei

March 5, 2017 - 7:15 am in Internet

[ad_1] Nutzer mit mehreren O2-SIMs können nun auch per WLAN telefonieren. Auf dem iPhone steht die Funktion ab iOS 10.1 bereit. Anzeige Apple iPhone…

OpenStack Ocata: Verbesserungen für Container

March 5, 2017 - 6:45 am in OSS

[ad_1] Die OpenStack-Entwickler haben die neue Version Ocata ihrer Cloud-Software freigegeben. Dabei gibt es einige Neuerungen für den Einsatz von Containern.…

GDC: Beeindruckender Spiele-Sound mit Wwise 2017.1 und Nuendo 8

March 5, 2017 - 6:15 am in Software-Entwicklung

[ad_1] Audiokinetic hat für seine Audio-Software eine neue UI-Fernsteuerung sowie spektakulären 3D-Reverb mit Richtungsinformationen angekündigt. Steinberg lässt Nuendo 8 direkt mit Wwise zusammenarbeiten. Audiokinetic und Steinberg haben ihre kommenden…

Yahoo-Hack mit Cookies hatte 32 Millionen Opfer

March 5, 2017 - 6:10 am in Security

[ad_1] 2015 und 2016 wurden "einzelne" Yahoo-Konten über gefälschte Cookies gekapert. Monatelang hielt Yahoo die Opferzahl von 32 Millionen geheim. Dabei ist das immer noch wenig, im Vergleich zu zwei anderen Hacks bei Yahoo. Neben den Rekordhacks von einmal…

Vodafone Kabelnetz: Aktivierung kundeneigener Router kann scheitern

March 4, 2017 - 1:10 pm in Internet

[ad_1] Seit einigen Tagen lassen sich manche im Handel gekaufte Kabelrouter am Vodafone-Netz nicht aktivieren, sodass damit weder der Internet- noch der Telefonie-Dienst funktionieren. Der Netzbetreiber will das Problem bis Mitte der Woche beseitigen. Kabelkunden…

Tech Preview: Groupware-Client Kube in Version 0.1.0 freigegeben

March 4, 2017 - 12:41 pm in OSS

[ad_1] Der Groupware-Client Kube soll eine moderne Plattform für die E-Mail-Kommunikation und die Verwaltung persönlicher Informationen auf Linux bieten. Die nun erschienene Tech Preview gewährt erste Einblicke. Der Groupware-Client Kube ist erstmals öffentlich…

Developer Snapshots: Programmierer-News in ein, zwei Sätzen

March 4, 2017 - 12:13 pm in Software-Entwicklung

[ad_1] heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen – dieses Mal u.a. mit GammaRay, Bitbucket, Azure CLI 2 und MetaEdit. Hier die durchaus subjektive Auswahl an Nachrichten…

PDF-Anwendungen von Foxit für Schadcode anfällig

March 4, 2017 - 12:05 pm in Security

[ad_1] Für Windows stehen abgesicherte Versionen bereit. Angreifer können Anwendungen abstürzen lassen, Informationen abziehen und Schadcode ausführen. Die PDF-Anwendungen PhantomPDF und Reader von Foxit sind unter Windows verwundbar. Von PhantomPDF sind…

Telekom verdoppelt Volumen in allen Data-Comfort-Tarifen

March 3, 2017 - 7:08 pm in Internet

[ad_1] Die Deutsche Telekom legt beim Datenvolumen ihrer Data Comfort-Tarife nach: Je nach Tarif gibt es nun monatlich bis zu 40 GByte Datenvolumen. Die Telekom hat am heutigen Mittwoch das Inklusivvolumen in allen Data-Comfort-Tarifen verdoppelt. Das gilt…