Roboter Pepper lässt sich einfach in Waffe verwandeln

Der Softbank-Roboter Pepper hat mehrere massive Sicherheitslücken. Das haben Forscher der schwedischen Universität Örebro herausgefunden und in einem Papier veröffentlicht. Der Roboter erlaube demnach einfachen Zugang auf Root-Level und ist außerdem für die Meltdown/Spectre-Lücke anfällig.

Zu allem Übel kann er über eine unverschlüsselte http-Schnittstelle gesteuert werden und nutzt ein Standard-Root-Passwort. „Es ist eine Leichtigkeit, ihn aus der Ferne in eine Cyber- und physische Waffe zu verwandeln“, so die Forscher.

Der Roboter sei außerdem sehr anfällig für Brute-Force-Attacken, da die Software unlimitierte Passwort-Eingabeversuche zulasse.

Pepper macht, was ihm Fremde sagen

Die API sei so schwach gesichert, dass Angreifer leicht auf sämtliche Sensoren und Funktionen von Pepper zugreifen könnten. „Pepper akzeptiert Anfragen auf dem Port 9559, der TCP-Nachrichten entgegennimmt und entsprechend reagiert“, so die Sicherheitsexperten. „So lange die Nachrichten mit der API übereinstimmen akzeptiert Pepper sie, von wem auch immer sie kommen“, so die Experten weiter. Angreifer könnten also einfach auf Pepper zugreifen und über die Kamera und Mikrofone spionieren. In Extremsituationen könnten sie auch Bewegungen auslösen, die andere Menschen in der Umgebung gefährden.

Die Forscher betonen, dass viele der Schwachstellen mit verhältnismäßig wenig Aufwand geschlossen werden können. Gleichzeitig kritisieren sie auch das Unternehmen hinter Pepper. Es sei heutzutage nicht mehr tolerierbar, Produkte zu verkaufen, die so leicht geknackt werden könnten.