Krajem prolog mjeseca otkrivena je kritična ranjivost u konfiguracijskom sučelju Bluetooth Low Energy (BLE) i Wi-Fi mreže koju koriste roboti kineskog proizvođača Unitree, uključujući modele četveronožaca Go2 i B2 te humanoidne robote G1 i H1. Ova ranjivost napadaču omogućava preuzimanje root privilegija na pogođenim robotima ubacivanjem zlonamjernih naredbi (command injection). Dodatni je problem to, piše IEEE Spectrum, što zaraženi robot automatski može skenirati i kompromitirati druge Unitree robote u BLE dosegu, stvarajući mrežu zaraženih uređaja bez potrebe za ljudskom intervencijom.

Napadi iskorištavaju nedostatke poput fiksnog sigurnosnog ključa, jednostavnog handshake mehanizma koji se oslanja na tajnu riječ "unitree“, te neprovjerenih korisničkih podataka koji se izravno koriste u naredbama operacijskog sustava, što omogućava izvršenje naredbi s root pravima na povezanim uređajima. Zahvaljujući ovim propustima, napadači mogu daljinski preuzeti kontrolu nad robotima i stvoriti botnet mrežu zaraženih robota.

Dodatni rizik

Ranjivost je ozbiljna i za humanoidne jedinice koje zbog ugrađene telemetrije i naprednih senzora - mikrofona, kamera, lidara, GPS-a - predstavljaju dodatni rizik za tajno nadgledanje i prikupljanje osjetljivih podataka bez znanja korisnika. Istraživanja su pokazala da ti roboti kontinuirano šalju podatke na udaljene servere, što potencijalno krši zakone o zaštiti privatnosti poput GDPR-a.

"Shvatili smo da su neki korisnici otkrili sigurnosne ranjivosti i probleme povezane s mrežom dok su koristili naše robote“, oglasio se Unitree u priopćenju na LinkedInu: "Odmah smo počeli rješavati te probleme i sad smo dovršili većinu ispravaka. Ova ažuriranja bit će dostupna u bliskoj budućnosti.“