Uma dupla de hackers conseguiu tomar controle de um robô humanoide de 58 cm de altura, voltado a uso doméstico e no comércio. A vulnerabilidade, segundo os especialistas, pode também ser explorada em robôs industriais.

Para o ataque, eles instalaram na máquina um ransomware — tipo de programa malicioso que toma controle de um equipamento e exige resgate para liberar. Segundo os especialistas, esse é o primeiro ataque desse tipo realizado em robôs.

Com o domínio, os equipamentos podem ser usados para espionagem (por meio de acesso a câmeras e microfones), roubo de informações e até para ferir seres humanos.

Os ransomwares se tornaram famosos no início de 2017, quando o programa WannaCry se alastrou por computadores em todo o mundo e causou prejuízos a empresas e a governos, principalmente na Europa.

Ele criptografava o conteúdo das máquinas e condicionava a liberação a um pagamento em bitcoins.
Cesar Cerrudo e Lucas Apa, pesquisadores da empresa de segurança digital IOActive, demonstraram na prática esse domínio remoto sobre o robô em vídeo divulgado na manhã desta sexta-feira (9).

No começo da demonstração dos hackers, o pequeno robô comportava-se normalmente, como se estivesse auxiliando em uma loja. Ao perceber a presença de um humano, dizia coisas como “olá, posso ajudar?”.

Após o ataque, que levou menos de 20 segundos, o robô adquiriu um aspecto mais sombrio e até ameaçou a pessoa que estava à frente. “Me dê bitcoins! Robôs amam bitcoins”, passou a dizer.

O pesquisador Lucas Apa afirma que foram necessárias apenas algumas horas para escrever o programa usado na invasão. “Não foi nada difícil”, diz.

Para reproduzir um ataque como esse, um criminoso precisaria se conectar à mesma rede de computadores que o robô.

“Acontece que os robôs normalmente não ficam em redes isoladas, eles se conectam à mesma que todos os outros”, afirma Apa. Isso significa, por exemplo, que um criminoso que acesse o wifi de uma loja que tivesse um robô já estaria na mesma rede que ele.

Haveria, então, o trabalho de encontrar o robô entre todos os equipamentos conectados. Segundo o especialista, no entanto, há vulnerabilidades nos robôs que permitem facilmente fazer essa identificação.

Em janeiro de 2017, Cerrudo e Apa já haviam publicado um artigo no qual alertavam para cerca de 50 vulnerabilidades que encontradas em diferentes robôs de usos domésticos, para o comércio e industriais.

Entre elas estavam a ausência de criptografia e a não exigência de usuário e senha para ter acesso a funções importantes.

O robô que foi usado na demonstração desta sexta chama-se NAO. Ele é desenvolvido pela SoftBank Robotics e é um dos mais populares do mundo --já vendeu mais de 10 mil unidades pelo mundo, segundo o site da empresa. Ele pode ser encontrado a venda por cerca de R$ 30 mil na internet, em canais não oficiais.

O NAO estava entre os robôs com vulnerabilidades apontadas pelos hackers em 2017. Eles afirmam que os problemas elencados há um ano não foram sanados.

Procurada pela Folha, a fabricante não esclareceu se já estava ciente das falhas, tampouco se elas já foram corrigidas. Em nota, a SoftBank Robotics recomendou o uso de redes wifi seguras e a configuração de senhas seguras para o equipamento.

Eles afirmaram também que continuam a melhorar medidas segurança no robô para combater quaisquer riscos que apareçam.

MÁQUINAS MAIORES

De acordo com Apa, falta força ao NAO para que ele consiga machucar uma pessoa, mas um ataque semelhante poderia afetar máquinas maiores.

Com o acesso remoto, um atacante conseguiria parar a produção de uma fábrica e pedir resgate para liberar. Os equipamentos, mais potentes, poderiam até machucar seres humanos.

Os ambientes mais vulneráveis, explica Apa, são os colaborativos – em que humanos e robôs trabalham lado a lado, sem um isolamento físico. “O que protege as pessoas é um software”, afirma.

ALTA NO USO DE ROBÔS EXPÕE VULNERABILIDADES

PRINCIPAIS FALHAS

* Comunicação insegura: criptografia fraca (ou inexistente) permite interceptar conteúdos que trafegam entre computadores e os robôs

* Falhas de autenticação: partes importantes na programação dos robôs não exigem usuário e senha, dando acesso a qualquer um

* Baixo controle de privacidade: alguns robôs enviavam dados, como informação de GPS, a servidores externos sem a permissão do usuário

* Configuração padrão: em alguns casos, é impossível trocar senhas padrões dos robôs, ou seja, qualquer um que saiba a senha padrão pode ter acesso ao equipamento
 
PRINCIPAIS AMEAÇAS

- Acesso a microfone e câmeras, para ciberespionagem

- Acesso à rede à qual o robô está conectado, possibilitando entrada a a outros sistemas e desativar, por exemplo, a segurança de uma casa inteligente

- Acesso a outros dispositivos aos quais o robô se conecta, como celulares

- Conexão direta a outros sistemas, como redes sociais e arquivos na nuvem

- Instalação de programas maliciosos

- Danos físicos a pessoas, por meio da manipulação do robô
 
Fonte: IOActive

O jornalista viajou a convite da Kaspersky Lab