Onları restoranlarda, masalar arasında kayan, yemek plakaları sunan kedi yüzlü robotlarda görmüş olabilirsiniz. Birçoğu dünyanın en büyük ticari hizmet robotik şirketi olan Pudu Robotics tarafından yapılan bu robotlar, günlük yaşamlarımızda büyüyen otomatik yardımcılar filosunun bir parçasıdır.
Tanınmış Bellabot’tan temizlik ve dezenfeksiyon robotlarına kadar, Pudu’nun makineleri dünya çapında restoranlarda, hastanelerde, otellerde ve ofislerde faaliyet göstererek milyonlarca insana hizmet veriyor. Ancak son zamanlarda yapılan bir keşif şaşırtıcı bir güvenlik açığı ortaya çıktı: Bu robotlar biraz teknik teknik bilgiye sahip herkes tarafından kontrol edilebilir.
Siber güvenlik araştırmacısı “Bobdahacker”, Pudu’nun Robot Yönetimi API’lerinin kritik bir kusur olduğunu keşfetti: uygun kimlik doğrulama kontrollerinden yoksundu.
Geçerli bir kimlik doğrulama jetonu gerekli olsa da, sistem kullanıcının robotları kontrol etmek için gerekli izinlere sahip olup olmadığını doğrulayamadı. Bu gözetim, bir restoranda bir Bellabot veya kurumsal bir ofiste flashbot olsun, neredeyse her Pudu robotunun ortaya çıktığı anlamına geliyordu.
Güvenlik açıkları, yetkisiz kullanıcıların şunları yapmasına izin verdi:
- Herhangi bir robotun çağrı geçmişini görüntüleyin.
- Sahip olmadıkları yeni görevler ve robotları kontrol edin.
- Adları ve davranışları dahil Robot ayarlarını güncelleyin.
- Küresel olarak herhangi bir mağaza ile ilişkili tüm robotları listeleyin.
Kötüye kullanım potansiyeli geniş ve endişe vericiydi. Bir restoran ortamında, bir bilgisayar korsanı, doğru olanı yerine kendi masalarına yiyecek teslim etmek için bir Bellabot’u yeniden yönlendirebilir, yoğun bir akşam yemeği servisi sırasında tüm robot görevlerini iptal edebilir veya robotların müzik çalan yemek odasını daire içine alarak kaos oluşturabilir.
Çıkarımlar restoranların çok ötesine uzanmıştır. Pudu’nun kolları ve asansör kullanma yeteneği ile donatılmış flashbot, bir ofisteki gizli belgelere erişmek, farklı bir yere gitmek ve bunları yetkisiz bir kişiye teslim etmek için uzaktan kontrol edilebilir.
Daha yıkıcı bir senaryoda, bir saldırgan tüm bir robot filosuna sahip olabilir ve normal operasyonları geri yüklemesi için bir fidye talep edebilir. Saldırgan, robotların ekranlarında ödeme için bir QR kodu bile görüntüleyebilir.
Riskler özellikle sağlık ortamlarında ilgiliydi. Pudu robotları hastanelerde ilaç vermek ve temizlik ve dezenfeksiyon için kullanılır.
Kötü niyetli bir aktör, ilaç teslimatlarını yeniden yönlendirebilir, temizlik robotlarını steril ameliyat odalarına gönderebilir veya kritik alanları atlamak için program dezenfeksiyon robotlarını hasta güvenliği için doğrudan bir tehdit oluşturabilir.
Bu kusurları keşfettikten sonra, araştırmacı 12 Ağustos’ta Pudu Robotics’e bildirmeye çalıştı. Şirketin satış, desteği ve teknoloji ekiplerine e -postalar cevapsız kaldı.
21 Ağustos’ta 50’den fazla personele yapılan bir takip e-postası da cevap verilmedi. Robotlar hassas ortamlarda çalışmaya devam ederken, haftalarca güvenlik açıkları kullanılmamış kaldı.
Yanıt eksikliğinden hayal kırıklığına uğrayan araştırmacı, “nükleer seçenek” olarak adlandırdıkları şeyi aldı. Japonya’da 7.000’den fazla restoran işleten Skylark Holdings ve başka bir büyük restoran zinciri operatörü olan Zensho da dahil olmak üzere Pudu’nun en büyük müşterileriyle temasa geçtiler. Araştırmacı, herkesin tesislerindeki robotları kontrol edebileceğini açıkladı.
Bu müşterilerin bilgilendirilmesinden sonraki 48 saat içinde Pudu Robotics yanıt verdi, görünüşte bir AI tarafından üretildi, araştırmacıya “sorumlu açıklamaları” için teşekkür etti ve güvenlik ekibinin “sorunu derhal araştırdığını” belirtti.
Yanıt, gönderenin e -posta adresi için bir yer tutucu bile içeriyordu ve aceleci ve şablonlu bir cevap önerdi. İki gün sonra, bildirilen tüm güvenlik açıkları düzeltildi.
Bu robotlar hayatımıza daha fazla entegre hale geldikçe, hastanelerde, okullarda ve çeşitli kamusal alanlarda savunmasız nüfus etrafında faaliyet göstererek, güvenliklerinin sadece teknik bir zorunluluk değil, temel bir sorumluluk olmasını sağlıyor.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.