Der unter anderem in Hotels und auf Flughäfen verbreitete humanoide Roboter „Pepper“ des Herstellers Softbank Robotics (Vormals Aldebaran Robotics SAS) ist erschreckend leicht zu hacken. Das zeigt eine aktuelle Studie skandinavischer Forscher. Denn bei Pepper bestehen viele gravierende Sicherheitsmängel. Das umfasst unter anderem eine Administration über eine ungesicherte HTTP-Verbindung und ein schwer zu änderndes Standard-Passwort für den Root-Zugriff. Einziger Lichtblick: Diese Probleme, sollen laut den Forschern leicht zu lösen sein.
Sicherheitsrisiko
Pepper ist etwa 1,20 Meter groß und irgendwie schon niedlich. Aufgrund dessen kommt der Humanoide Roboter in japanischen Banken, Geschäften und Hotels rund um die Welt sowie auf dem Münchener Flughafen zum Einsatz. Doch kommt die Sicherheit bei dem Roboter zu kurz, warnen Alberto Giaretta von der Örebro University und seine Kollegen von Dänemarks Technischer Universität. Schon in der Vergangenheit gab es demnach vereinzelte Berichte über Pepper-Hacks. Die aktuelle Studie befasst sich nun aber systematisch mit der Sicherheit des Roboters – und zeichnet ein verheerendes Bild.
Pepper bietet Nutzern beispielsweise ein einfaches Web-Interface für administrative Aufgaben. Der Zugriff erfolgt dabei Komplet ungesicherter über HTTP- anstatt über eine verschlüsselte HTTPS-Verbindung, so können Angreifer leicht Informationen wie Standardnutzerdaten stehlen. Schlimmer noch, Pepper nutzt ein Standardpasswort für Root-Rechte, das sich nur relativ schwer ändern lässt. In vielen Fällen könnten Angreifer nach einem Log-in als normaler Nutzer also ganz leicht volle Zugriffsrechte auf den Roboter erlangen. Falls ein Hacker das Passwort für den Standard-Nutzer nicht stehlen konnte, ist dieses auch kein Problem, denn ein Brute-Force-Angriff funktioniert hier spielend leicht.
Nachbessern
Diese und weitere Lücken zeigen, dass Pepper ähnlich schlecht gesichert ist wie viele andere IoT-Geräte. Im Vergleich zu Kameras oder Routern birgt diese Maschine natürlich noch größere Risiken. „Ein gehackter Roboter, genutzt beispielsweise im Eigenheim oder schlimmer noch an einem öffentlichen Ort wie einem Flughafen, kann gewaltige Konsequenzen für die Sicherheit von Menschen haben“, erklärt das Team.
Denn Hacker könnten ihn für virtuelle, aber im Fall eines Roboters auch physische Angriffe missbrauchen. Das Forscherteam betont auch, dass viele Sicherheitsprobleme bei Pepper recht einfach in den Griff zu bekommen wären. Das beginnt schon allein damit, dass für die Admin-Seite eben HTTPS zum Einsatz kommen sollte. Auch gegen den Passwortklau via Brute-Force-Atakken gibt es bewährte, einfache Schutzvorkehrungen. Für all diese Lösungen müsste jedoch die API von Pepper grundlegend überarbeitet werden.
Zur Studie „Adding Salt to Pepper: A Structured Security Assessment over a Humanoid Robot„
