近期，有安全研究人員通過NFC入侵了一家日本酒店的服務機器人，并利用它們來監視其他旅客。

這家酒店的名字為Henn na，是日本著名的用機器人代替人工的連鎖酒店，研究人員在入住后成功入侵了床邊機器人，并借此對其他旅客進行監視。

該連鎖酒店隸屬于HIS Group，在日本各地擁有10家分店，它們的特色就是利用具有人臉識別的機器人為旅客辦理入住手續和提供客房服務。但不幸的是，研究員Lance R. Vick從客房內的Tapia機器人上發現了一個0day漏洞，可讓攻擊者建立一個長久控制后門，源源不斷地竊取機器人所能看到和聽到的信息流。后續所有住在這個機器人身旁的旅客都會被非法監控。

目前還不清楚除了Vick之外是否還有其他人知道該漏洞，但Thycotic的首席安全科學家Joseph Carson告訴Threatpost，這種攻擊所能帶來的威脅不僅僅只有偷窺。

“任何與互聯網相連的東西，無論是筆記本電腦、手機、網絡攝像頭還是接待機器人，都有被黑客攻擊和利用的風險。機器人的攝像頭和運動傳感設備可以被濫用來錄制視頻、收集敏感數據等，讓任何人都處于不安全的狀態。”

Vick在7月份向供應商報告了這個0day漏洞，但供應商“并不關心”。

這個漏洞的存在是由于機器人內部的NFC tag存在訪問控制缺陷，任何人既可以讀取其中的內容，也能輸入惡意代碼進行控制。NFC tag是一種小型芯片，其中內容可以被幾英寸范圍內的移動設備所讀取。一般來說，大部分NFC中內容可以輕易通過NFC閱讀器所讀取。同時，這種芯片也可以通過編程來發送網絡請求或連接到某個網絡應用（商店里的“點擊支付”機制就是基于NFC的）。

Vick表示，酒店中機器人的NFC由于缺乏安全管控措施，利用起來很容易，只需要少量編程即可。Vick在推特上指出，攻擊者只需要接入機器人頭部后面的一個NFC tag，進入設置選項，允許不可信應用運行；然后再使用瀏覽器下載音頻/視頻記錄軟件（共享到網絡中）；設置為自動運行；最后重新啟動；你就可以隨時通過網絡查看信息流，就是這么簡單。

據《朝日新聞》報道，HIS Group已就此事道歉，并表示“為了防止被惡意利用，已進行了修復”。不過該機器人的供應商認為，根據研究人員的結果，判定這種“NFC安全風險很低”。

研究人員指出，隨著物聯網的普及，這種情況只會越來越普遍。以后人類面臨的監控力度也許是前所未有的，而且監控者很可能并不是政府，而是不知在哪的犯罪分子。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場：https://nosec.org/home/detail/3084.html 來源：https://threatpost.com/bedside-hotel-robot-hacked-video/149491/

總結

以上是生活随笔為你收集整理的酒店服务机器人或被用于长期偷窥旅客的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。