在我們看來傳統的工業機械人是很無趣的。平日情形下，它們單獨或許在人類的指點下在制作和臨盆情況中履行反復性的，法式化的義務。它們常常被用來履行風險或不合適人類去干的義務，是以，它們的任務情況常常與人類或許其他有價值的機械隔分開來。

　　然則最新一代的協同機械人（“cobots”）并不是如斯。在相符平安尺度的同時，他們與人類或許其他機械在配合的情況中任務。這一代機械人與人類聯袂并進，協助人類完成任務，而不只僅是履行主動化的，風險性的操作。 Cobots可以進修挪動，經由過程高清攝像機“看”，或經由過程麥克風“聽到”來完成任務。

　　是以，Cobots比傳統的工業機械人出現出了更加風趣的進擊研討。然則，Cobots只限于工業運用？不，他們也能夠被集成到其他裝配中！

　　客歲二月，Cesar Cerrudo和我揭橥了一篇非技巧論文“Hacking Robots Before Skynet”，在這篇論文中我們對來自多家著名廠商的幾款家用，商用和工業機械人停止了研討，在這些機械人中我們發明了近50個癥結的平安破綻。在Cobots這部門機械人部門，我們對包含來自Rethink Robotics的Baxter / Sawyer和Universal的UR機械人停止了研討，這些都是工業機械人行業的引導者。

　　Baxter / Sawyer：針對這款機械人，我們發明其存在身份驗證破綻，采取不平安的協定傳輸和默許的安排設置裝備擺設，易遭到物理進擊和應用了一個存在多個平安破綻的框架-ROS，該公司曾經在2017年2月修復了我們申報的重要成績。

　　UR：我們在很多掌握協定中發明了身份驗證成績、易遭到物理進擊、內存損壞破綻和不平安的通訊傳輸等平安破綻。一切這些成績在最新版本（3.4.2.65，2017年5月）的體系中中仍未修補。

　　依據IOActive收集平安公司破綻表露的政策，我們曾經在客歲1月份與供給商獲得了接洽，所以他們有足夠的時光來修復這些破綻并告訴客戶。我們的目的是使cobots機械人更平安，避免進擊者應用破綻對企業，員工和四周情況形成嚴輕傷害。我真的愿望這篇文章可以推進cobots機械人的平安機能夠向前成長，使得我們可以平安地應用如今的這些機械人和后續更多代的機械人。

　　在這篇文章中，我將評論辯論進擊者若何經由過程cobot（例如UR3，UR5，UR10 - Universal Robots）機械人的多個破綻來長途修正平安設置，違背實用的平安原則，經由過程挪動機械人對其四周的任務人員形成身材上的損害。經由過程這個例子我們可以看到假如這些體系被黑客進擊或許掌握能夠會給人類形成何等嚴重的效果，把持平安限制和禁用緊迫按鈕能夠直接威逼到人的性命。在這個例子中，我們應用了cobot機械人的六個破綻來轉變其平安限制，并經由過程長途收集禁用平安面板和緊迫按鈕/傳感器，演示視頻可以鄙人面這個url中看到：

　　問：這些機械人真的可以損害一小我嗎？

　　答：是的，加拿年夜蒙特利爾（ETS）技巧研討所的掌握和機械人試驗室的一項研討清晰地注解，即便是較小的UR5模子，其壯大到足以嚴輕傷害一小我。即便是在慢速挪動中，他們的力氣也足以形成顱骨骨折

　　問：等等，他們有無平安功效，避免他們損害鄰近的人類？

　　A：是的，然則黑客可以長途入侵，我將鄙人一個技巧部門告知你黑客是若何入侵機械人體系的。

　　問：這些機械人安排在哪里？

　　A：世界各地，天天在多個臨盆情況中都無機器人在任務。

　　集成約定義一切平安裝配

　　Universal Robots公司是UR機械人的制作商，然則在特定運用中裝置UR機械人的公司是集成商，一個機械人只要集成和裝置以后才被以為是一個完全的機械。 UR機械人的集成商擔任確保清除全部機械人體系的任何嚴重風險，這包含但不限于：

　　1. 對全部體系停止風險評價，在很多國度，這是司法劃定的的需要流程。

　　2. 假如風險評價以為平安，則銜接其他機械和其他平安裝配

　　3. 在Polyscope軟件（掌握面板）中設置響應的平安設置，確保用戶不會應用“平安暗碼”來修正任何平安辦法。

　　4. 驗證全部體系的設計和裝置能否準確

　　Universal Robots公司曾經認識到集成商必需斟酌機械人存在的潛伏的嚴重傷害例如：

　　1. 機械人對象或許對象銜接器上的銳利的刀邊或許刀尖有能夠刺傷皮膚；

　　2. 機械人軌道鄰近的妨礙物上的銳利刀邊或許刀尖有能夠刺傷皮膚；

　　3. 由機械人的碰撞惹起的瘀傷；

　　4. 由機械人繁重的機械零件或許資料外面之間的碰撞而發生的扭傷或骨折；

　　5. 因為未經受權更改平安設置裝備擺設參數而招致的毛病

　　一些平安相干功效是專為cobot運用而設計的，這些功效包含：

　　1. 力和功率限制：用于在機械人和操作員之間碰撞的情形下，削減機械人在活動偏向上施加的夾緊力和壓力；

　　2. 動量限制：經由過程下降機械人的速度，用于在機械人和操作者之間碰撞的情形下削減高瞬態能量和沖擊力；

　　3. 刀具定向限制：防止銳利的刀邊指向操作者；

　　4. 速度限制：用于確保機械人手臂低速運轉；

　　5. 平安界限：用于限制機械人的任務空間，強迫其逗留在界說的虛擬立體的準確一側，而不克不及經由過程它們。

　　6. 平安I/O：當觸發此輸出平安功效（經由過程緊迫按鈕，傳感器等）時，向輸出端發送低旌旗燈號，并使平安體系轉換到“減小”形式。

　　平安設置可以有用避免很多潛伏風險事宜。然則，假如歹意進擊者繞過這些平安辦法，把持機械人來威逼人類性命，那能夠會產生些甚么呢？

　　UR用戶指南的聲明

　　長途更改平安設置裝備擺設

　　“平安設置裝備擺設只能依據集成商停止的風險評價停止更改。假如轉變了平安參數，機械人的全部體系應該被以為是新的，這意味著包含風險評價在內的全部平安審批流程應當響應的更新“。

　　長途更改平安設置裝備擺設的進程以下所示：

　　步調1.經由過程在UR Dashboard Server上應用身份驗證破綻來確認長途機械人體系的版本信息；

　　步調2.經由過程在UR Modbus TCP辦事中應用基于客棧的緩沖區溢露馬腳取得對體系的掌握權限，并以root身份履行敕令；

　　步調3.修正security.conf文件，該文件將籠罩一切的通用平安限制，接頭限制，界限和平安I/O值限制；

　　步調4.強迫繞過盤算校驗和值，并上傳新文件。我們須要捏造這個校驗和值，由于平日集成商極可能在硬件上寫入以后的校驗和值；

　　步調5.從新啟念頭器人，以便更新平安設置裝備擺設；

　　步調6.經由過程應用UR掌握辦事上的認證成績，以隨意率性風險的方法操作機械人。

　　經由過程逆向剖析ursys-CB3.1-3.3.4-310.img這個體系鏡像，我曉得了機械人的進口點和許可收集上的其他機械與操作體系停止交互的辦事法式。關于此演示，我應用供給商供給的URSim模仿器，該模仿器包括了機械人鏡像中年夜部門焦點的二進制文件。雖然這個示例應用模仿器可以更加清晰展現進擊后果，但我照樣修正了這個二進制文件，修正后的文件部門代碼可以在Linux機械上正常運轉。URControl這個二進制文件中導出了許多分歧的收集辦事，這些收集辦事的公有協定在完成上都沒有應用壯大的認證機制。例如，收集上的任何用戶都可以向個中一個辦事收回敕令，并獲得正在運轉的過程的長途操作體系的版本（步調1）：

　　如今我曾經驗證了長途目的運轉著一個易受進擊的體系ursys-CB3.1-3.3.4-310（UR3，UR5或UR10），下一步我預備應用收集辦事破綻來損壞這個機械人體系（步調2）。因為UR Modbus TCP辦事（端口502）不支撐對敕令源的認證機制，是以，收集進擊者能夠會在掌握的進程中損壞機械人體系。與機械人IP銜接的進擊者可以收回Modbus讀/寫要求，并部門更改機械人的狀況或向操作人員發送要求，以更改掌握鏈接的狀況。發送Modbus寫要求其實不能轉變機械人的任何平安設置，但是，我們在在UR Modbus TCP吸收器（URControl內核的一個二進制文件）中發明了一個基于客棧的緩沖區溢出。

　　UR Modbus TCP辦事法式的recv函數存在客棧緩沖區溢露馬腳，進擊者經由過程該函數可以向法式的緩沖區寫入超越其長度的內容，形成緩沖區的溢出，從而損壞法式的客棧，使法式轉而履行其他的指令，以到達進擊的目標，這是一個很罕見的客棧緩沖區破綻。

　　在停止破綻應用之前，我們先來看一下破綻應用的將要面對的障礙。機械人的Linux內核被設置為客棧隨機化（randomize_va_space = 1 => ASLR），VDSO（virtual dynamic shared object page）和內存區域同享。另外，因為內核中的"No eXecute" （NX） 被置位，是以該內核文件是弗成寫和弗成履行的。

　　當對目的緩沖區停止溢出操作時，我們也須要要對指向函數參數的指針履行溢出操作。在函數前往之前，這些參數在其他函數挪用中被應用，所以我們必需要為這些函數挪用供給有用的實參。不然，我們永久不克不及找到函數的前往點和掌握函數的履行流程。