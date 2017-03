Uit een nieuw onderzoek onder de grootste robotfabrikanten blijkt dat de meeste robots serieuze kwetsbaarheden bevatten die hackers de mogelijkheid geven de machine over te nemen en zelfs te herprogrammeren om zo de eigenaren te bespioneren, dingen stuk te maken en zelfs mensen aan te vallen.

"We hebben al incidenten gezien", zegt Lucas Apa, securityconsultant bij IOActive, dat het rapport opstelde. Maar er is nog geen bewijs dat die incidenten zijn veroorzaakt door hackers, zegt hij erbij, maar dat staat onvermijdelijk te gebeuren. "Cybercriminelen mikken pas op technologie als die breed in gebruik is", zegt hij.

Slimme robots met een internetverbinding zijn relatief nieuw, zegt Apa, en de relatieve lage gebruikscijfers van dit moment zijn nog niet interessant genoeg voor criminelen om tijd en geld te steken in het hacken ervan. Maar zouden ze dat wel willen, dan zijn er genoeg kwetsbaarheden in robots te vinden om daar gebruik van te maken.

Dat geldt tevens voor de programmeerframeworks die worden gebruikt. Het meest gebruikt is ROS, dat oorspronkelijk bedoeld was voor gebruik in lab-omgevingen en zeer onveilig is, zegt Apa. "Ze weten dat ze verschillende kwetsbaarheden hebben, maar er zijn nog steeds veel bedrijven die het gebruiken."

IOActive keek ook naar de robots NAO en Pepper van Softbank Robotics, de Alpha 15 en Alpha 2 van Ubtech Robotics, de Robotis OP2 en Thormang 3 van Robotis, de UR3, UR5 en UR10 van Universal Robots, de Baxter en Sawyer van Rethink Robotics en diverse robots van Asratec.

De meest gevaarlijke van alle kwetsbaarheden was het gemis aan authenticatie, zegt Cesar Cerrudo, de CTO van IOActive. "Als je als aanvaller in het zelfde netwerk zit, betekent dat het gebrek aan authenticatie dat je makkelijk verbinding maakt met de robot en onder meer de software kan aanpassen", zegt hij. "Dat is wel een serieus probleem."

De meeste robots die zijn getest, kampen met dat probleem, hoewel IOActive niet wil vertellen welke leveranciers met specifiek welke kwetsbaarheden te maken hebben. Het bedrijf heeft de leveranciers zes weken geleden ingelicht, slechts twee hebben gereageerd. Een van de fabrikanten zegt dat ze in een komende release de problemen willen oplossen. "En de andere zei dat ze het heel erg interessant vonden en er wat aan zouden moeten doen. En dat was het", zegt Apa.

Een ander probleem met de robots is dat hoewel er normaal gesproken wel een manier was om de software te updaten of te patchen, twee van de zes fabrikanten niet over een resetmogelijkheid beschikten om terug te gaan naar de fabrieksinstellingen. "Dus als de robot al is gehackt en het besturingssysteem is gecompromitteerd, dan is het haast onmogelijk om de robot terug te zetten in zijn oorspronkelijke staat", zegt Apa. "Je moet de robot naar de fabrikant sturen om het te laten repareren, en dat kan aardig wat kosten met zich meebrengen."

En nu we het over de updatemechanismen hebben: die hebben eveneens kwetsbaarheden in zich. "Zo zou de gebruiker niet zozeer een echte update kunnen krijgen, maar eentje van een aanvaller", zegt Cerrudo.

Apa zegt dat hij hoopt dat het rapport de aandacht zal vestigen op het probleem, zodat de problemen zo snel mogelijk zullen worden aangepakt.

"We zullen immers snel allerlei robots zien in het dagelijkse leven", zegt Cerrudo. "Ze worden gebruikt op vliegvelden, in winkels. Het gebruik ervan groeit en het is belangrijk dat we nu direct dat securityprobleem aanpakken. Als we wachten totdat robots alom aanwezig zijn, zou dat erg slecht zijn voor mensen en bedrijven."