Исследовательница BobDaHacker обнаружила уязвимости в админ-панели китайской компании Pudu Robotics, которая считается крупнейшим поставщиком коммерческих сервисных роботов. Хакеры могли воспользоваться багом, чтобы перенаправлять роботов и задавать им любые команды.
Стоит отметить, что Pudu выпускает более 100 тысяч роботов, которые работают в тысяче городов. Компания предлагает ресторанных BellaBot в виде кота или версии FlashBot с механическими руками, которые управляют лифтами и другими системами. Pudu занимает 23% мирового рынка сервисных роботов.
BobDaHacker выяснила, что администраторы не ограничили доступ к панели, а, получив токен авторизации, можно было управлять роботами.
Токен можно было украсть через XSS-атаку или получить после регистрации тестового аккаунта для потенциальных клиентов. Поскольку дополнительных проверок после входа не выполнялось, любой желающий мог менять заказы, перемещать роботов и даже переименовывать их.
Фактически, злоумышленники могли перенаправлять еду, останавливать всю сеть ресторанных роботов в «DDoS-атаке едой», заставлять FlashBot портить офисные системы или красть интеллектуальную собственность.
BobDaHacker сообщила об уязвимости 12 августа, но техническая поддержка, сервисная и торговая команды Pudu проигнорировали предупреждение. Спустя несколько дней исследовательница отправила письма более чем 50 работникам компании, однако также не дождалась ответа.
Лишь тогда, когда BobDaHacker связалась с клиентами Pudu, в том числе с крупными японскими сетями Skylark Holdings и Zensho, производитель ответил на сообщение. Однако ответное письмо пришло через 48 часов и выглядело как автоматически сгенерированное. Исследовательница заметила, что там даже присутствовал плейсхолдер [Your Email Address].
В итоге Pudu всё же устранила уязвимость в системе и усилила защиту. Компания публично не комментировала ситуацию.
Ранее BobDaHacker рассказала, что смогла получить доступ к платформе McDonald’s, предназначенной только для сотрудников и франчайзи. Она хотела сообщить об уязвимости компании, но не нашла способа сделать это из-за отсутствия обратной связи.
Источник: habr.com