headless 曰く、

SoftBankのロボット「Pepper」で、認証なしにリモートから操作し、人に危害を加えるなどの攻撃を可能にする脆弱性が見つかっているそうだ。スウェーデンとデンマークの研究チームによる調査結果は5月10日にarXiv.orgで公開されている(The Registerの記事、 論文)。

研究チームはポートスキャンや脆弱性スキャナーの実行結果をもとに、各サービスへの攻撃が可能かどうかを評価している。リモートからの操作は9559番ポートからアクセス可能なNAOqiのサービスによるもの。このポートにTCPメッセージを送信するとPepperはそれに従って動作する。Pepperの体の動きを指定できるだけでなく、カメラやマイクを含むすべてのセンサーへのアクセスが可能なAPIが提供されているという。特に認証は行われず、APIの仕様に従っている限り、誰が送信したものであっても受け入れられるとのこと。

また、SSH接続によるrootログインは無効化されており、ユーザー「nao」のみがSSH接続で利用できることになっているが、suコマンドを実行すれば権限の昇格が可能だ。naoの認証情報はWebベースの管理ページに接続する際にも使われるが、管理ページにはHTTPで接続するので盗聴される可能性がある。SSHのログインも総当たり攻撃への保護がされておらず、naoのパスワードは比較的容易に取得できるようだ。一方、rootのパスワードはマニュアルに記載されているが、管理ページから変更可能なnaoのパスワードとは異なり、変更にはターミナル上での操作が必要だという。

このほか、OpenSSHなどのソフトウェアが更新されていない点や、ユーザーがPepperの振付データや読み上げ用テキスト、胸のタブレットに表示する画像をアップロードできるSimple Animated Messages(SAM)アプリケーションでMIMEスニッフィング攻撃が可能な点も弱点として挙げられている。論文では上述のような問題への対策に加え、Portspoofのよなソフトウェアを使用してポートスキャンで攻撃者が得られる情報を少なくすること、開発段階で脆弱性スキャナーを実行して問題点を修正しておくことを提案している。