Onderzoekers hebben robots in winkels gehackt en porno op shoppers losgelaten

Eindelijk is je abonnement afgelopen. Je hebt twee jaar gewacht en je mag weer een nieuwe telefoon. Bij de telefoonboer word je begroet door de vriendelijke, kleine robot Pepper. Hij vraagt hoe hij je kan helpen.

Opeens gaat er iets helemaal mis. Op de tablet op z’n buikje begint hardcore porno te spelen. Je smeekt of hij het gekreun kan laten stoppen, maar in plaats daarvan kijkt hij je boos aan en eist een grote hoeveelheid bitcoin. Verslagen gooi je je handen in de lucht. En dan begint de normaal zo vriendelijke Pepper je ook nog eens uit te schelden.

Volgens een recent onderzoek, zou dit wel eens werkelijkheid kunnen gaan worden. En dat kan bedrijven heel veel geld gaan kosten.

Lucas Apa en Cesar Cerrudo, onderzoekers bij IOActive Security, leggen in hun paper Robots want bitcoins too uit hoe je ransomware voor de NAO-robot van SoftBank Robotics kunt maken. Bij traditionele ransomware worden alle gegevens op iemands computer versleuteld en wordt daar losgeld voor gevraagd. Maar bedrijven waar dit soort bots werken, worden gedwongen een keuze te maken: betaal losgeld of doek je hele bedrijf maar op.

“Hierdoor kunnen de robots hun werk niet doen,” vertelt Apa aan Motherboard in een telefoongesprek. “De hackers hoeven niks te versleutelen. Ze hoeven alleen maar de robot over te nemen en ervoor zorgen dat hij zijn werk niet meer doet. En dan begint een bedrijf automatisch geld te verliezen.”

Ook bewezen de onderzoekers dat een aanvaller veel meer kan dan de robots alleen maar uitschakelen. Apa legt uit hoe iemand de ransomware op een robot krijgt waardoor-ie mensen gaat uitschelden en ze nare beelden laat zien. Als ze hier niks aan doen, kan het ervoor zorgen mensen hun vertrouwen verliezen in bedrijven die met robots werken.

Deze specifieke malware werd alleen op de NAO gebruikt, maar Apa vertelt dat de code ook gebruikt kan worden om de ontzettend populaire Pepper-robot te besmetten. Wereldwijd zijn er ongeveer 10.000 Peppers verkocht. Veel grote bedrijven als Pizza Hut en Sprint (een Amerikaans telecombedrijf) gebruiken ze al.

Volgens de onderzoekers zijn er meerdere redenen waarom het zo moeilijk is om iets aan robot-ransomware te doen: de robots zijn duur – een Pepper drie jaar gebruiken kost ongeveer 7300 euro – en zo’n ding resetten is ook niet echt makkelijk.

Het is dus heel goed mogelijk dat een robot die besmet met ransomware is terug naar de fabriek moet voor een reset. Dit kan soms weken duren – en al die tijd verliest het bedrijf geld. Volgens de onderzoekers betekent dit dat afpersers veel meer geld kunnen eisen dan bij een normale ransomware-aanval.

Laten we even wat verder de toekomst in kijken. Volgens de onderzoekers gaan mensen met een seksbot ook last krijgen van ransomware.

“Seksrobots zijn een speciaal geval. Privacy en vertrouwen zijn het allerbelangrijkst voor gebruikers. Omdat het nogal gênant is de klantenservice te bellen en met ze te regelen dat ze dat ding komen ophalen, kunnen mensen worden gedwongen om losgeld te betalen,” staat in het onderzoek.

Dit is niet de eerste keer dat Apa en Cerrudo het over de zwakke plekken van de robots van SoftBank hebben. Afgelopen augustus publiceerde het team een ander paper over hoe de slechte beveiliging ervoor kan zorgen dat de NAO en Pepper afluisterapparaten veranderen.

In hetzelfde onderzoek lieten de twee ook zien hoe ze de beveiliging van industriële robots uit konden zetten. Deze beveiliging is er om te voorkomen dat ze mensen verwonden.

“We kunnen ze makkelijk uitschakelen, omdat de beveiligingsinstellingen en de andere systemen van de robots niet van elkaar gescheiden zijn,” zegt Apa. “Er zit geen muur tussen. Zodra je de robot hebt gehackt, kun je bij alle beveiligingen.”

Apa zegt dat dit vooral gevaarlijk is, omdat mensen een zekere mate van vertrouwen in hun robotcollega’s moeten hebben.

“Dit soort robots werkt in allerlei fabrieken nauw samen met mensen,” zegt hij “en de werknemers vertrouwen ze zoveel dat ze niet eens een helm dragen.”

Dit soort fabrieksrobots zijn vaak sterk genoeg zijn om iemands schedel te breken, vertelt Apa. Dus is het nogal een angstaanjagend idee als ze opeens gehackt worden. Afgelopen augustus lukte het IOActive ook om de Alpha 2-robot van UBTech zover te krijgen dat hij mensen met zijn schroevendraaier kon gaan steken.

Apa vertelt veel ransomware-problemen op te lossen zijn als het wat makkelijker wordt om bots te resetten. Een robot weer terugzetten naar de fabrieksinstellingen wist namelijk alle malware.

De producten van SoftBank Robotics hebben wel een resetfunctie, maar die werkt maar op een paar onderdelen, vertelt Apa.

SoftBank Robotics heeft nog niet gereageerd op ons verzoek voor commentaar.

“We denken dat fabrikanten van robot soms prioriteit geven aan marketing in plaats van beveiliging,” zegt Apa. “Mensen hebben al zeven of acht jaar veel verwachtingen van robots, dus er moet er snel een flashy product komen.”