Google+Find us on Google+
Gadgets & Technik, Internet of Things (IOT), News

Roboter “Pepper” ist leicht zu hacken

Roboter “Pepper” ist leicht zu hacken Der Robotter "Pepper“ hat viele Sicherheitslücken (Foto: Softbankrobotics)
About Author
Thorsten Claus
tc

Thorsten Claus ist Gründer und Chefredakteur von “moobilux | Connected Mobile” mit mehr als 16 Jahren Berufserfahrung. Der langjährige Journalist beschäftigt sich vor allem mit Themen rund um die mobile Telekommunikation. Als Experte veröffentlichte er in den vergangenen Jahren u. a. Fachbeiträge in “VoIP Compendium”, “Voice Compass” und “t3n”. Als Experte berichtete er in “Deutschland-Radio Wissen”, “Finacial Times Deutschland” und bei “n-tv” über die neuen Trends und Entwicklungen in der Technologie-Branche. Thorsten Claus ist Mitgründer der Pitch-TV-Eventserie „pitchfreunde // Show Your Mobile“ welches sich speziell an Startups mit Fokus Mobile & e-Mobility richtet.

Der unter anderem in Hotels und auf Flughäfen verbreitete humanoide Roboter “Pepper” des Herstellers Softbank Robotics (Vormals  Aldebaran Robotics SAS) ist erschreckend leicht zu hacken. Das zeigt eine aktuelle Studie skandinavischer Forscher. Denn bei Pepper bestehen viele gravierende Sicherheitsmängel. Das umfasst unter anderem eine Administration über eine ungesicherte HTTP-Verbindung und ein schwer zu änderndes Standard-Passwort für den Root-Zugriff. Einziger Lichtblick: Diese Probleme, sollen laut den Forschern leicht zu lösen sein.

Sicherheitsrisiko
Pepper ist etwa 1,20 Meter groß und irgendwie schon niedlich. Aufgrund dessen kommt der Humanoide Roboter in japanischen Banken, Geschäften und Hotels rund um die Welt sowie auf dem Münchener Flughafen zum Einsatz. Doch kommt die Sicherheit bei dem Roboter zu kurz, warnen Alberto Giaretta von der Örebro University und seine Kollegen von Dänemarks Technischer Universität. Schon in der Vergangenheit gab es demnach vereinzelte Berichte über Pepper-Hacks. Die aktuelle Studie befasst sich nun aber systematisch mit der Sicherheit des Roboters – und zeichnet ein verheerendes Bild.

Pepper bietet Nutzern beispielsweise ein einfaches Web-Interface für administrative Aufgaben. Der Zugriff erfolgt dabei Komplet ungesicherter über HTTP- anstatt über eine verschlüsselte HTTPS-Verbindung, so können Angreifer leicht Informationen wie Standardnutzerdaten stehlen. Schlimmer noch, Pepper nutzt ein Standardpasswort für Root-Rechte, das sich nur relativ schwer ändern lässt. In vielen Fällen könnten Angreifer nach einem Log-in als normaler Nutzer also ganz leicht volle Zugriffsrechte auf den Roboter erlangen. Falls ein Hacker das Passwort für den Standard-Nutzer nicht stehlen konnte, ist dieses auch kein Problem, denn ein Brute-Force-Angriff funktioniert hier spielend leicht.

Nachbessern
Diese und weitere Lücken zeigen, dass Pepper ähnlich schlecht gesichert ist wie viele andere IoT-Geräte.  Im Vergleich zu Kameras oder Routern birgt diese Maschine natürlich noch größere Risiken. “Ein gehackter Roboter, genutzt beispielsweise im Eigenheim oder schlimmer noch an einem öffentlichen Ort wie einem Flughafen, kann gewaltige Konsequenzen für die Sicherheit von Menschen haben”, erklärt das Team.

Denn Hacker könnten ihn für virtuelle, aber im Fall eines Roboters auch physische Angriffe missbrauchen. Das Forscherteam betont auch, dass viele Sicherheitsprobleme bei Pepper recht einfach in den Griff zu bekommen wären. Das beginnt schon allein damit, dass für die Admin-Seite eben HTTPS zum Einsatz kommen sollte. Auch gegen den Passwortklau via Brute-Force-Atakken gibt es bewährte, einfache Schutzvorkehrungen. Für all diese Lösungen müsste jedoch die API von Pepper grundlegend überarbeitet werden.

Zur Studie “Adding Salt to Pepper: A Structured Security Assessment over a Humanoid Robot

To Top