Robots die met mensen samenwerken kunnen worden gehackt en gemanipuleerd om mensen ernstig te verwonden, zo hebben onderzoekers van securitybedrijf IOActive aangetoond. De onderzoekers maakten eerder dit jaar al verschillende kwetsbaarheden in industriële robots bekend.

Nu besloten ze om naar "collaborative robots" te kijken, ook wel cobots genoemd. In tegenstelling tot industriële robots die vaak beperkte functies hebben en in een afgeschermde omgeving opereren, zijn cobots juist ontwikkeld om mensen te ondersteunen. Cobots kunnen bewegingen leren, door camera's "kijken" of geluid "horen". Volgens de onderzoekers bieden cobots dan ook een veel interessanter aanvalsoppervlak om te onderzoeken.

Zowel in de cobots van Baxter/Sawyer als Universal Robots werden meerdere beveiligingslekken gevonden, zoals authenticatieproblemen in de controleprotocollen, geheugenkwetsbaarheden en onbeveiligde communicatie. Verschillende van deze kwetsbaarheden kunnen aan elkaar worden gekoppeld waardoor het mogelijk is om op afstand de veiligheidsinstellingen aan te passen en de robot willekeurig in zijn omgeving te laten bewegen, waardoor er fysieke schade kan ontstaan.

Zo kan er op afstand via het authenticatieprobleem op de dashboard-server van de cobot worden ingelogd. Een buffer overflow in de modbus tcp-dienst maakt het mogelijk om als root commando's uit te voeren en het bestand safety.conf aan te passen, dat alle veiligheidsinstellingen bevat. Vervolgens is het via een authenticatieprobleem in de controle service mogelijk om de robot op een gevaarlijke manier te laten bewegen.

De robots worden wereldwijd in allerlei productieomgevingen gebruikt. Na te zijn ingelicht heeft Baxter/Sawyer de grootste problemen dit jaar gepatcht. In de laatste versie van de Universal Robots-software zijn alle kwetsbaarheden echter nog aanwezig. De onderzoekers hopen door hun onderzoek cobots veiliger te maken en misbruik te voorkomen. In onderstaande video wordt de aanval gedemonstreerd.