【軟銀Pepper機器人爆出海量安全漏洞】據(jù)TheRegister報道，瑞典的研究人員發(fā)現(xiàn)，軟銀三年前就開賣的Pepper機器人root密碼被簡單粗暴的設(shè)置為了R-O-O-T四個字母，標(biāo)注在了用戶手冊里，并且直接被寫死了，用戶無法修改密碼，但黑客可以大搖大擺的用這個密碼黑進來，然后控制機器人。

當(dāng)然，黑客要想完全操控機器人離不開其他部件的“配合”。

而軟銀在軟硬件方面的設(shè)置剛好非?！芭浜稀保?/p>

Pepper的處理器有問題，只需要uname-a終端命令操控；順便提一下Pepper的處理器是2013年英特爾AtomE3845驅(qū)動，在今年年初被爆出了Meltdown/Spectre漏洞。

Pepper機器人的API接口可訪問傳感器、攝像頭、麥克風(fēng)和移動部件，具體功能用Python，C++和Java寫的很清楚；同時軟銀沒有部署任何應(yīng)對強行攻擊的措施，Pepper在接受TCP消息的端口9559上公開服務(wù)并作出相應(yīng)反應(yīng)，只要信息符合API，Pepper就接受來自發(fā)送者的數(shù)據(jù)包，并且不需要身份驗證。

Pepper機器人還可通過未加密HTTP進行管理，對于這一點，發(fā)現(xiàn)問題的研究人員感到軟銀拉低了整個CS界的智商：

“我們堅信，在2018年，銷售如此易遭此類攻擊的產(chǎn)品簡直不能忍。通過未加密的通信渠道進行身份驗證，這是軟件開發(fā)人員能犯的最嚴(yán)重的錯誤之一，計算機本科生都知道應(yīng)該避免這種錯誤，但讓人遺憾的是，這個問題竟然出現(xiàn)在了售賣中的商業(yè)產(chǎn)品上?！?/p>

除了這些安全問題，研究人員還發(fā)現(xiàn)了Pepper的其他bug：

比如控制機器人行走的應(yīng)用程序SimpleAnimatedMessages（SAM），它可以實現(xiàn)設(shè)計一個簡單的編排，讓Pepper能夠移動；以及通過文本到語音服務(wù)進行說明，顯示到機器人身上的屏幕上。

然而這個程序無法控制擴展名，甚至用戶可以上傳圖片格式的文本——你能想象把一個。txt改成。jpg或者。png上傳執(zhí)行么？

黑客控制Pepper，禍起蕭墻

普通的黑客操控計算機系統(tǒng)，可以控制軟件，但是Pepper不一樣，它開始一個有手有腳、有眼有耳的機器人。

如果黑客控制了Pepper，可能會偷窺你的生活，監(jiān)視你的隱私，甚至欺騙你說出支付寶的密碼。

最可怕的是，你不知道黑客會不會控制Pepper的手腳對你發(fā)動物理攻擊，被機器人拿刀架在脖子上可不是什么美好的體驗。