Temi הישראלית מודה: היו פרצות אבטחה חמורות ברובוט האישי שלנו

חוקרי סייבר הצליחו לזהות ולנצל חולשות אבטחה ברובוט האישי Temi שפיתחה החברה הישראלית Robotemi. על פי המחקר פרצות האבטחה אפשרו לחוקרים של חברת מקאפי ליירט ולהתפרץ לשיחות טלפון או וידאו שנוהלו באמצעות הרובוט, וכן להשתלט מרחוק על מצלמת הווידאו המובנית ואפילו על תנועת הרובוט ברחבי הבית.

Temi הוא רובוט שפותח כדי לשמש עוזר אישי ולסייע לחולים וקשישים בסביבת המגורים שלהם ובמוסדות רפואיים למגוון שימושים, כגון יצירת קשר מרחוק עם רופאים, חברים ובני משפחה. צוות המחקר יצר קשר עם חברת Temi בארה"ב לפני מספר חודשים וניהל עמה קשר הדוק בנוגע לממצאים. אנשי Temi עבדו בצוותא עם החוקרים כדי לפתח פתרון ונכון לעכשיו כל הבעיות שזוהו טופלו ביעילות.

 

 

במקאפי הסבירו שלרובוטים ביתיים או המיועדים לסיוע לבני אדם, כמו Temi ודומיו יש יכולות תנועה ומולטימדיה אוטונומיות. אנשים רבים משתמשים בהם בתוך הבית או בסביבה העסקית, בבתי חולים ומרפאות, וגם בחנויות, במוסדות חינוך ועוד. לאחרונה אף פורסם בוול סטריט ג'ורנל על עלייה בשימוש ברובוטים לצרכים שונים שמחליפים עובדים אנושיים עקב משבר מגפת הקורונה.

יכולות אלה הופכות רובוט כמו Temi למכשיר בעל רמת מעורבות גבוהה בכל הנעשה סביבו, ולכן גם למטרה איכותית עבור האקרים עוינים. פריצה ל-Temi תעניק לכל אדם שליטה מלאה עליו וכאמור גישה לחיישנים השונים.

 

הרובוט האישי Temi יודע לזהות את הבעלים שלו וללכת אחריו, לבצע משימות שונות, וכל זאת ללא צורך בשימוש במקלדת או במסך מגע. הוא מופעל באמצעות הוראות קוליות ומחוות ידיים, וכולל יכולת זיהוי מכשולים ותכנון נתיב. הוא יכול לסייע לבעליו לצפות מרחוק ולשוחח עם אדם קרוב המאושפז בבית החולים, או לעזור לרופא "לבקר" חולים באופן וירטואלי. בישראל נבחר Temi לאחרונה על ידי משרד הביטחון כפלטפורמה הרובוטית המובילה לביקורים וירטואליים בבתי חולים.

החוקרים גילו שבעזרת מספר קטן של שינויים באפליקציית האנדרואיד של הרובוט, ניתן היה ליירט שיחות טלפון שנועדו למשתמש אחר למשל. לאחר כמה שינויים נוספים, Temi החל לאפשר לכל אחד מאתנו לנווט אותו ולהפעיל את המצלמה והמיקרופון שלו מרחוק. "נציין כי פרט המידע היחידי שהיה נחוץ לנו לשם כך היה מספר הטלפון של הקורבן, כלומר הבעלים החוקי של רובוט ה-Temi שלנו. כן, מספר טלפון הוא המידע היחיד שהאקר בעל כוונות זדון היה צריך כדי לקבל גישה מלאה מרחוק ל-Temi", הסביר דגלאס מקי, חוקר אבטחה בכיר במקאפי.

"חשבו על בית חולים המפעיל תוכנית אבטחה הדוקה ויעילה. מבחוץ כמעט בלתי אפשרי לפרוץ או לגנוב ממנו מידע, אבל חולשות האבטחה שהתגלו ב-Temi היו יכולות לספק להאקרים דרך קלה לאסוף מודיעין על הפעילות הפנימית בבית החולים, בלי שיהיה צורך לפרוץ את אבטחת הרשת או את אבטחת המתחם הפיזי שלו. בעזרת מספר הטלפון של כל אדם שהתקשר ל-Temi לאחרונה, כל פורץ היה יכול לגלות את מספר החדר ואת מצבו הרפואי של חבר כנסת או שר בכיר במחלקה בו הוא מאושפז. או למשל, בעזרת המצלמה המותקנת בחזית הרובוט אפשר היה להבחין בצילומי הכלב האהוב שמונחים על שולחנה של אחות או רופאה, כולל השם החמוד ותאריך הלידה של הכלב, שממש במקרה משמשים גם כסיסמת הגישה שלה למערכת המידע של בית החולים. מידע כזה יכול להיות יקר מפז עבור פורצים, או עבור גורמים עברייניים מסוגים שונים שבשמחה ישלמו לפורצים תמורתו", הרחיב מקי.

חברת Temi פיטרה עשרות עובדים השבוע ממשרדיה בתל אביב וגייסה במקומם צוות עובדים בשנזן בסין. בפברואר גייסה החברה 15 מיליון דולר מקרן ג'וי קפיטל הסינית והעבירה את עיקר פעילותה לסין. בנוסף גם אמן החושים ליאור סושארד ששימש סמנכ"ל המותג של החברה במהלך 2019, פרש ממנה.

 

מ-Temi מסרו בתגובה: ״אנשי temi Global היו אסירי תודה והביעו רצון עז לשפר את האבטחה של טמי. במהלך השבועות הבאים עבדנו בסמיכות לצוות שלהם כדי לפתח פתרון יציב ומאובטח יותר לטמי. ברגע שפתרון כזה נמצא, יכולנו לבדוק ולאשר כי כל חולשות האבטחה תוקנו בצורה יעילה. תמיד מרגש לראות את ההשפעה החיובית שיש למחקרי אבטחה לאחר שהממצאים שלהם מתקבלים בהערכה ובמלוא האחריות ע"י הספק".