Un’analisi condotta da IOActive ha rilevato in robot per uso domestico e industriale molti problemi di sicurezza comuni ai dispositivi IoT. “Quando si pensa a robot come i computer con braccia, gambe o ruote, essi diventano dispositivi IoT in grado di muoversi”, spiegano i ricercatori della società di consulenza per la sicurezza informatica IOActive. “Se violati, questi dispositivi possono rappresentare nuove e gravi minacce per la sicurezza delle persone”.

Il settore della robotica ha già visto una crescita significativa negli ultimi anni e l’adozione di robot, sia per uso domestico che industriale, è in continuo aumento. I robot possono svolgere diverse funzioni, dall’assistenza delle persone in case, negozi e strutture mediche, alla produzione nel settore manifatturiero alla gestione di attività di sicurezza.

Mano a mano che le interazioni uomo-robot migliorano e si evolvono, emergono nuovi vettori di attacco e si amplia lo scenario delle minacce“, hanno dichiarato i ricercatori. “Arti meccanici, periferiche, ma anche la fiducia umana in questi dispositivi espandono l’area in cui le vulnerabilità nella sicurezza informatica potrebbero essere sfruttate per causare danni, distruggere proprietà o addirittura uccidere”.

La ricerca, effettuata dal CTO di IOActive Cesar Cerrudo e dal Senior Security Consultant Lucas Apa, ha analizzato applicazioni mobili, sistemi operativi, immagini firmware e altri software utilizzati in robot per uso domestico e industriale sviluppati da diversi produttori.

I robot dei quali sono stati testati componenti software includono: i robot NAO e Pepper di SoftBank Robotics; i robot Alpha 1S e Alpha 2 di UBTECH Robotics; i robot Robotis OP2 e THORMANG3 di Robotis; i robot UR3, UR5 e UR10 di Universal Robots; i robot Baxter e Sawyer di Rethink Robotics e diversi robot che utilizzano la tecnologia di controllo V-Sido sviluppata dalla società Asratec.

I ricercatori hanno scoperto che la maggior parte dei robot utilizzano comunicazioni non sicure, hanno problemi di autenticazione, mancano di protocolli di autorizzazione, utilizzano una crittografia debole, espongono informazioni private, hanno deboli configurazioni di default e sono stati costruiti utilizzando framework e librerie open source vulnerabili.

Alcuni robot possono essere controllati da applicazioni mobili o possono essere programmati con il software installato sui computer. Altri robot comunicano attraverso servizi basati su cloud per ricevere aggiornamenti e applicazioni software.

Se i canali di comunicazione tra questi diversi componenti non sono sicuri e criptati, gli aggressori possono potenzialmente lanciare attacchi di tipo man-in-the-middle e inserire comandi o aggiornamenti software dannosi che verranno eseguiti dai robot.

Inoltre, molti dei sistemi operativi e firmware testati offrono servizi accessibili da remoto che permettono di accedere a diverse funzioni. L’accesso ad alcuni di questi servizi non richiede alcuna autenticazione, mentre in altri casi, in è necessaria l’autenticazione, i ricercatori hanno riscontrato meccanismi deboli che potrebbero essere facilmente bypassato.

Questo è uno dei problemi più critici che abbiamo rilevato, in quanto permettono a chiunque di accedere in remoto e con facilità ai robot”, ha non scritto i ricercatori nel loro report.

Alcuni robot non cifrano le password memorizzate, le chiavi crittografiche, le credenziali per i servizi di terze parti e altri dati sensibili. Altri hanno tentato di proteggere i dati con la crittografia, ma con sistemi di crittografia che sono stati implementati in modo improprio.

I ricercatori hanno inoltre constato che molte delle applicazioni mobili utilizzate dai robot inviano informazioni sensibili, come dati di rete, dispositivi GPS e dettagli sui servizi remoti, senza il consenso dell’utente. Alcune configurazioni di default includono funzioni non sicure che non possono essere facilmente disabilitate o password di default che non possono essere cambiate.

Alcuni problemi di autenticazione, autorizzazione e comunicazione sono il risultato di vulnerabilità presenti in software, librerie e sistemi operativi open-source condivisi dagli sviluppatori. Uno di questi casi è il Robot Operating System (ROS), un diffuso sistema operativo usato in molti dei robot analizzati.

Secondo i ricercatori un altro fattore che incide sulla sicurezza è il fatto che spesso i produttori passano troppo in fretta dal prototipo al prodotto commerciale, senza effettuare gli opportuni controlli di sicurezza informatica e integrare protezioni supplementari.

Le implicazioni della violazione di un robot sono simili a quelle di un dispositivo IoT o un computer: l’aggressore potrebbe spiare attraverso microfoni o telecamere, trovando un punto d’appoggio in reti interne da cui lanciare altri attacchi, o avere accesso a dati personali e credenziali dei servizi di terze parti. Tuttavia, a causa della loro possibilità di movimento, i robot diventano potenzialmente più pericolosi.

All’interno delle case, i robot hackerati potrebbero essere utilizzati per danneggiare oggetti e ferire le persone attraverso i loro movimenti improvvisi. Potrebbero potenzialmente accendere il fuoco, sbloccare le porte, disattivare gli allarmi, per esempio. Gli stessi problemi potrebbero derivare da robot utilizzati in un ambiente aziendale.

I robot industriali, più grandi e più potenti rispetto ad altri tipi di robot, sono ancora più pericolosi perché potrebbero facilmente uccidere una persona. Si sono già verificati incidenti mortali a causa di malfunzionamenti di robot, e tali incidenti potrebbero verificarsi anche in seguito a violazioni da parte di criminali informatici.

Molte delle problematiche emerse nella nostra ricerca avrebbero potuto essere evitate mediante l’attuazione di ben note pratiche di sicurezza informatica”, scrivono i ricercatori di IOActive. “Abbiamo rilevato la possibilità di attaccare questi robot in diversi modi, abbiamo analizzato le possibili minacce e cercato di stabilire le priorità più critiche per arrivare a mitigarle. Questo studio ci ha permesso di confermare la nostra convinzione iniziale: è ora che tutti i produttori di robot prendano provvedimenti immediati per garantire la sicurezza delle loro tecnologie”.

La ricerca di IOActive suggerisce che, fino a oggi, i venditori di robot hanno avuto come priorità la commercializzazione dei loro prodotti piuttosto che la sicurezza. Un problema comune ad altri settori, naturalmente, ma che sta emergendo con particolare urgenza.

Se la sicurezza informatica non è presa in considerazione all’inizio del ciclo di vita di un prodotto, risolvere le vulnerabilità dopo che è stato rilasciato è più complesso e costoso”, concludono i ricercatori di IOActive. “Per fortuna, dal momento che l’adozione del robot non è ancora mainstream, c’è ancora tempo per migliorare la tecnologia e renderla più sicura”.