【軟銀Pepper機器人爆出海量安全漏洞】據TheRegister報道，瑞典的研究人員發現，軟銀三年前就開賣的Pepper機器人root密碼被簡單粗暴的設置為了R-O-O-T四個字母，標注在了用戶手冊里，并且直接被寫死了，用戶無法修改密碼，但黑客可以大搖大擺的用這個密碼黑進來，然后控制機器人。

當然，黑客要想完全操控機器人離不開其他部件的“配合”。

而軟銀在軟硬件方面的設置剛好非常“配合”：

Pepper的處理器有問題，只需要uname-a終端命令操控；順便提一下Pepper的處理器是2013年英特爾AtomE3845驅動，在今年年初被爆出了Meltdown/Spectre漏洞。

Pepper機器人的API接口可訪問傳感器、攝像頭、麥克風和移動部件，具體功能用Python，C++和Java寫的很清楚；同時軟銀沒有部署任何應對強行攻擊的措施，Pepper在接受TCP消息的端口9559上公開服務并作出相應反應，只要信息符合API，Pepper就接受來自發送者的數據包，并且不需要身份驗證。

Pepper機器人還可通過未加密HTTP進行管理，對于這一點，發現問題的研究人員感到軟銀拉低了整個CS界的智商：

“我們堅信，在2018年，銷售如此易遭此類攻擊的產品簡直不能忍。通過未加密的通信渠道進行身份驗證，這是軟件開發人員能犯的最嚴重的錯誤之一，計算機本科生都知道應該避免這種錯誤，但讓人遺憾的是，這個問題竟然出現在了售賣中的商業產品上。”

除了這些安全問題，研究人員還發現了Pepper的其他bug：

比如控制機器人行走的應用程序SimpleAnimatedMessages（SAM），它可以實現設計一個簡單的編排，讓Pepper能夠移動；以及通過文本到語音服務進行說明，顯示到機器人身上的屏幕上。

然而這個程序無法控制擴展名，甚至用戶可以上傳圖片格式的文本——你能想象把一個。txt改成。jpg或者。png上傳執行么？

黑客控制Pepper，禍起蕭墻

普通的黑客操控計算機系統，可以控制軟件，但是Pepper不一樣，它開始一個有手有腳、有眼有耳的機器人。

如果黑客控制了Pepper，可能會偷窺你的生活，監視你的隱私，甚至欺騙你說出支付寶的密碼。

最可怕的是，你不知道黑客會不會控制Pepper的手腳對你發動物理攻擊，被機器人拿刀架在脖子上可不是什么美好的體驗。