Роботы Pudu Robotics несут еду, но могут и угрозу. Хакер получил контроль над армией ИИ-помощников по всему миру
NewsMakerХакеру хватило одного токена, чтобы управлять армией Pudu по всему миру.
Компания Pudu Robotics, крупнейший в мире производитель коммерческих сервисных роботов, столкнулась с критической проблемой безопасности. Независимый исследователь обнаружил, что почти все API-интерфейсы для управления их техникой не имели полноценной проверки прав доступа. Это означало, что любой человек, получивший токен, мог дистанционно контролировать роботов Pudu по всему миру — от ресторанных BellaBot и KettyBot до дезинфекционных машин в больницах и офисных FlashBot с манипуляторами и интеграцией в лифтовые системы.
Выявленные уязвимости открывали полный набор возможностей: просмотр и изменение истории вызовов, обновление конфигураций, выдача команд на перемещение, отмена заданий и даже глобальное перечисление роботов по идентификаторам заведений. По сути, контроль мог быть перехвачен над сотнями тысяч устройств, работающих ежедневно в ресторанах, отелях, медучреждениях, офисах и учебных заведениях. Сценарии злоупотребления выглядели угрожающе. В ресторане — хаотическая работа официантов-роботов, блокировка заказов в час пик или превращение их в бесконечных «диджеев». В офисе — захват документов при помощи FlashBot и их вывоз через лифт. В больницах — подмена маршрутов доставки лекарств и дезинфекции. Наконец, злоумышленники могли устроить вымогательскую атаку, показывая на встроенных экранах QR-код для перевода криптовалюты.
Несмотря на серьёзность ситуации, обращения исследователя в адрес команды продаж, поддержки и технических специалистов Pudu Robotics оставались без ответа. Даже рассылка более чем на 50 сотрудников не привела к реакции. Лишь после того, как специалист предупредил крупнейших клиентов компании, Pudu Robotics отреагировала в течение двоих суток. Ответ выглядел как шаблонное письмо с неубранным плейсхолдером «[Your Email Address]», но при этом компания пообещала устранить проблему в кратчайшие сроки. И действительно, в течение 48 часов уязвимости были закрыты.
Поскольку продукция Pudu используется не только в сфере питания, но и в медицине и гостиничном бизнесе, задержка с реакцией могла иметь серьёзные последствия для пациентов, постояльцев и сотрудников. Первоначально исследователь обвинял компанию в намеренном игнорировании сообщений ради сохранения репутации и доходов, однако после последующей встречи по видеосвязи ситуация прояснилась. В Pudu Robotics утверждают, что письма на начальных этапах до них просто не дошли, а с момента, когда информация стала доступна через иные каналы, команда немедленно занялась исправлениями. Именно поэтому связаться с исследователем они смогли только тогда, когда обновления были готовы к развёртыванию.
Компания пообещала создать специализированный центр реагирования на инциденты безопасности (PUDU Security Response Center), выделить специальный email-адрес для приёма сообщений и наладить более прозрачный процесс взаимодействия с исследователями. Стороны обсуждают возможность дальнейшего сотрудничества в области защиты.
Ситуация вокруг Pudu Robotics наглядно показала, что уязвимости в коммерческих сервисных роботах имеют не менее высокую значимость, чем в традиционных IT-системах, ведь от их бесперебойной работы напрямую зависят здоровье и комфорт людей.
Компания Pudu Robotics, крупнейший в мире производитель коммерческих сервисных роботов, столкнулась с критической проблемой безопасности. Независимый исследователь обнаружил, что почти все API-интерфейсы для управления их техникой не имели полноценной проверки прав доступа. Это означало, что любой человек, получивший токен, мог дистанционно контролировать роботов Pudu по всему миру — от ресторанных BellaBot и KettyBot до дезинфекционных машин в больницах и офисных FlashBot с манипуляторами и интеграцией в лифтовые системы.
Выявленные уязвимости открывали полный набор возможностей: просмотр и изменение истории вызовов, обновление конфигураций, выдача команд на перемещение, отмена заданий и даже глобальное перечисление роботов по идентификаторам заведений. По сути, контроль мог быть перехвачен над сотнями тысяч устройств, работающих ежедневно в ресторанах, отелях, медучреждениях, офисах и учебных заведениях. Сценарии злоупотребления выглядели угрожающе. В ресторане — хаотическая работа официантов-роботов, блокировка заказов в час пик или превращение их в бесконечных «диджеев». В офисе — захват документов при помощи FlashBot и их вывоз через лифт. В больницах — подмена маршрутов доставки лекарств и дезинфекции. Наконец, злоумышленники могли устроить вымогательскую атаку, показывая на встроенных экранах QR-код для перевода криптовалюты.
Несмотря на серьёзность ситуации, обращения исследователя в адрес команды продаж, поддержки и технических специалистов Pudu Robotics оставались без ответа. Даже рассылка более чем на 50 сотрудников не привела к реакции. Лишь после того, как специалист предупредил крупнейших клиентов компании, Pudu Robotics отреагировала в течение двоих суток. Ответ выглядел как шаблонное письмо с неубранным плейсхолдером «[Your Email Address]», но при этом компания пообещала устранить проблему в кратчайшие сроки. И действительно, в течение 48 часов уязвимости были закрыты.
Поскольку продукция Pudu используется не только в сфере питания, но и в медицине и гостиничном бизнесе, задержка с реакцией могла иметь серьёзные последствия для пациентов, постояльцев и сотрудников. Первоначально исследователь обвинял компанию в намеренном игнорировании сообщений ради сохранения репутации и доходов, однако после последующей встречи по видеосвязи ситуация прояснилась. В Pudu Robotics утверждают, что письма на начальных этапах до них просто не дошли, а с момента, когда информация стала доступна через иные каналы, команда немедленно занялась исправлениями. Именно поэтому связаться с исследователем они смогли только тогда, когда обновления были готовы к развёртыванию.
Компания пообещала создать специализированный центр реагирования на инциденты безопасности (PUDU Security Response Center), выделить специальный email-адрес для приёма сообщений и наладить более прозрачный процесс взаимодействия с исследователями. Стороны обсуждают возможность дальнейшего сотрудничества в области защиты.
Ситуация вокруг Pudu Robotics наглядно показала, что уязвимости в коммерческих сервисных роботах имеют не менее высокую значимость, чем в традиционных IT-системах, ведь от их бесперебойной работы напрямую зависят здоровье и комфорт людей.