Pudu Robotics’in yönetim API’lerinde, minimum teknik beceriye sahip herkesin şirketin gıda dağıtım ve servis robotlarının kontrolünü ele geçirmesine izin veren şaşırtıcı bir güvenlik açığı.
Tekrarlanan sorumlu açıklama girişimlerine rağmen haftalarca çalıştırılmayan güvenlik açığı, kötü niyetli aktörlerin Bellabots’u ve diğer Pudu modellerini istenmeyen alıcılara yemek teslim etmelerini, restoranlarda hizmeti bozmasını ve hatta hastanelerde ve ofislerde hassas operasyonları tehlikeye atmasını sağlayabilir.
Dünyanın en büyük ticari hizmet-robotik üreticisi olan Pudu Robotics, restoranlar, oteller, hastaneler, ofisler ve perakende mağazalarına şunları içeren bir dizi ürün sunuyor:
- Bellabot, Kettybot ve Pudubot Teslim Robotları.
- CC1 ve Pudu SH1 Temizleme Robotları.
- UV ve kimyasal püskürtücüler ile dezenfeksiyon robotları.
- Mekanik kollara sahip asansör özellikli bina dağıtım robotları.
Bobdahacker’ın araştırması, Pudu’nun robot yönetim platformu için hemen hemen her API uç noktasının yeterli kimlik doğrulama kontrolünden yoksun olduğunu ortaya koydu.
Sistem geçerli jetonlar gerektirirken, kullanıcı izinlerini veya robot sahipliğini doğrulayamadı. Saldırganlar:
- Herhangi bir robotun çağrı geçmişini görüntüleyin ve tek bir atılmamış istekte 20.000’e kadar mağaza kimliğini kabul edin.
- Dünyanın herhangi bir yerinde herhangi bir robotta görevleri başlatın, iptal edin veya yeniden yönlendirin.
- Takma adlar, konfigürasyonlar ve davranış kalıpları dahil robot ayarlarını değiştirin.
- Pudu’nun küresel mağaza dağıtımlarını numaralandırın ve tüm robotları mağaza kimliğine göre listeleyin.
Bir restoran senaryosunda, bir saldırgan kendi masalarına başka bir lokanta yemeğini taşıyan bir Bellabot’u yeniden yönlendirebilir, en yoğun saatlerde tüm teslimat isteklerini iptal edebilir veya programlanmış robotları müzik çalarken sonsuza dek döndürmek için.
Ofis binalarında, mekanik kollar ve asansör erişimi ile donatılmış bir robot olan flashbot, güvenli zeminlerden gizli belgeleri almaya ve bir çıkışa yatırmaya komuta edilebilirdi.
Sağlık hizmetleri ortamlarında, kötü niyetli aktörler ilaç teslimatına müdahale etmiş, temizlik robotları ameliyathanelere gönderebilir veya kritik dezenfeksiyon görevlerini tamamen atlamış olabilir.
Bobdahacker, Pudu’nun 12 Ağustos’ta başlayarak satış, destek ve teknik ekiplerin güvenlik açıklarını bildirdi.
Yanıt almadıktan sonra, 21 Ağustos’ta elli şirket personeline e -posta göndererek sorunu artırdı.
Pudu robotları dünya çapında savunmasız ortamlarda faaliyet göstermeye devam ederken haftalar sessizce geçti. 28 Ağustos’ta, Japonya’da 7.000’den fazla restoranı yöneten Skylark Holdings ve lider bir zincir operatörü olan Zensho da dahil olmak üzere büyük müşterilerle temasa geçti – filolarının devralmaya maruz kaldığını söyledi.
Bu son yükselişin kırk sekiz saati içinde Pudu’nun güvenlik ekibi, raporları mucizevi bir şekilde “keşfetti” ve Bobdahacker’a bir yer tutucu ile tamamlanan “sorumlu ifşa” için teşekkür eden şablonlu bir onay yayınladı.[Your Email Address]”Hala sağlam.
İki gün sonra Pudu, güvenlik açıklarının yamalı olduğunu doğruladı.
Olay, güvenlik ve kurumsal duyarlılıktaki endişe verici turları vurgulamaktadır. Pudu web sitesinde “devam eden güvenliğe bağlılık” ile övünürken, temel önlemlerden bile yoksundu: özel güvenlik teması yok, kimlik doğrulamalı API kontrolleri yok ve güvenlik açığı raporlarının zamanında işlenmesi yok.
Eylem ancak kilit müşteriler uyarıldığında itibar ve finansal hasar tehdidinden sonra izlendi.
Güvenlik sonuçları restoran kaosunun çok ötesine uzanır. Tıp dağıtım için Pudu robotlarına dayanan hastaneler, gecikmiş veya yanlış yönlendirilmiş tedavileri riske attı.
Oda servisi veya kafeterya lojistiği için bu cihazları kullanan oteller ve okullar, hizmet kapatmaları ve güvenlik tehlikeleri yaşayabilir.
Otomasyonun kritik operasyonlarda artan bir rol oynadığı bir dönemde, Pudu ihlali, sağlam güvenliğin teknolojik yeniliğin eşleşmesi gerektiğini vurgulamaktadır.
Pudu Robotics artık bir hesaplama ile karşı karşıya: Müşteriler ve düzenleyiciler daha güçlü güvenceler, şeffaf raporlama kanalları ve hızlı iyileştirme süreçleri talep edecek.
Şirketin gecikmiş yanıtı ve otomatik, kişisel olmayan şablonlara güvenmesi sadece güvene ulaştı.
Ticari hizmet robotları hassas ortamlarda çoğaldıkça, üreticiler dağıtım yoluyla güvenliği tasarımdan önceliklendirmelidir. Aksi takdirde, aç diners müşterilerinin endişelerinden en azı olabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.