Еще в 2015 году в японском городе Сасебо (префектура Нагасаки) открылась первая в мире гостиница Henn na Hotel, принадлежащая HIS Group, где постояльцев обслуживают исключительно роботы. Это не только знаменитые на весь мир роботы-динозавры на стойке регистрации, но и уборщики, портье и даже роботы, которые помогут положить одежду в шкаф. В настоящее время таких отелей в Японии уже больше пяти.
В номерах, на прикроватных столиках также установлены специальные роботы Tapia, которые помогают решить запросы постояльцев. В середине октября текущего года ИБ-исследователь Ланс Вик (Lance R. Vick) сообщил в Twitter, что эти роботы небезопасны. Он предупредил представителей HIS Group о проблеме еще минувшим летом, но не дождался ответа и потому решил рассказать об уязвимости публично.
It has been a week, so I am dropping an 0day.
— Lance R. Vick (@lrvick) October 12, 2019
The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.
Unsigned code via NFC behind the head.
Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq
Вик пишет, что в силу легкодоступности роботов любой желающий может использовать NFC-метку на «голове» машины, зайти в настройки, разрешить недоверенные приложения, воспользоваться браузером и установить любое стриминговое аудио- или видеоприложение на свой вкус, добавив его в автозапуск. Перезапустив устройство, атакующий гарантирует себе удаленный доступ к аудио или видеостриму в любое время. То есть получает возможность следить за постояльцами номера через встроенные камеру и микрофон.
Tokyo Reporter сообщает, что представители HIS Group приносят публичные извинения всем посетителям, которых могла затронуть такая компрометация. Хотя в компании сочли, что описанные исследователем риски несанкционированного доступа были невелики, всех потенциально уязвимых роботов все же обновили, устранив уязвимость.