実験には中国メーカーのUBTechが開発した「Alpha 2」が使われた。研究者らはAlpha 2の後頭部を開けてUSBポートを見つけ、ファームウェアをアップデートして動作をコントロールし、声をチャッキーのものに変換した。
Alpha 2は専用のアンドロイドアプリをアップデートする際、ユーザー本人であるかを確認しないため、ハッカーが攻撃を仕掛けカスタマイズしたマルウェアをロボットにインストールすることが可能だ。また、同社のAlpha 1では、Bluetoothを使ってリモート環境からファームウェアをアップデートできたという。
UBTechの広報担当者は、「指摘されたセキュリティの問題は全て対処済みであり、レポートに記載された内容は大げさだ」とコメントしている。しかし、IOActiveは今年1月にUBTechに警告したにも関わらず、まだ脆弱性は修正されていないとしている。IOActiveはAlpha 2をハッキングした衝撃的な動画を公開したが、これについてもUBTECHは次のように反論している。
「動画はAlpha 2のオープンソースプラットフォームを悪用したもので、誇張された内容だ。我々は、デベロッパーに対して責任を持ってプログラミングを行い、ロボットに不適切な動作をさせないことを奨励している」
しかし、IOActiveのセキュリティコンサルタントのLucas Apaは、UBTechの主張に異を唱える。
ロボットが暴走してしまう恐怖
「我々が設定した自動アップデートが6月に実行されており、数週間前にも脆弱性が修復されていないことが確認できている。UBTECHはまだ問題に対処しておらず、ユーザーに対しアップグレードを急ぐように伝達していない」
IOActiveは、UBTech製品以外にも、家庭用ロボットや産業料ロボットの脆弱性について調査を行い、ロボットが物理的な損害を与えるリスクに加えて、プライバシー上の課題も指摘している。
今回明らかになった問題によって、近い将来殺人ロボットが町中を徘徊するような状況が起きるとは考えにくい。しかし、IOActiveは幼い子供がロボットを利用する場合には注意が必要だと注意を喚起している。
「我々が公開した動画の中で、ロボットがスクリュードライバーを持って暴れているシーンがあるが、子供が鋭い工具などをロボットに持たせるケースは十分考えられる。家庭用に作られたロボットが突然暴走したり、悪意のあるハッカーが人を攻撃するようにコントロールすることを考えると恐ろしい」とIOActive のApaは述べた。
