Найпопулярніші людиноподібні роботи отримали дивний Bluetooth вірус

Кібербезпека роботів Unitree виявилася під серйозною загрозою після виявлення критичної вразливості під назвою UniPwn, повідомляє видання Techradar. Експерти з цифрової безпеки виявили комплекс недоліків у програмному забезпеченні популярних китайських роботів, які дозволяють зловмисникам дистанційно захоплювати повний контроль над пристроями. Проблема торкнулася кількох лінійок продукції компанії, включаючи двоногих роботів серій G1 та H1, а також чотириногих моделей Go2 і B2. Ці моделі широко використовуються як у комерційних, так і в дослідницьких цілях по всьому світу, що робить масштаб потенційної загрози надзвичайно значним.

Коріння проблем безпеки лежить у кількох аспектах реалізації бездротового з'єднання роботів. Дослідники виявили використання жорстко заданих криптографічних ключів у протоколі Bluetooth Low Energy (BLE), примітивний механізм аутентифікації та критичну відсутність фільтрації користувацького введення. У деяких випадках введені дані напряму підставляються в системні shell-команди без жодної перевірки. Це класичний приклад вразливості до ін'єкції команд, що є однією з найнебезпечніших проблем безпеки в сучасних системах. Комбінація цих недоліків надає можливість віддалено виконати довільний код з найвищими привілеями на скомпрометованому роботі.

Найбільш тривожним аспектом UniPwn є його здатність поширюватися подібно до комп’ютерного черв’яка. Заражений робот може автоматично сканувати навколишній простір у радіусі дії Bluetooth та інфікувати інші незахищені пристрої Unitree, які опиняться поблизу. Спеціалісти порівнюють цю поведінку з дією самопоширюваного вірусу, здатного створити ланцюгову реакцію зараження в середовищі вразливих роботів. Уявіть склад або виробництво, де десятки роботів працюють поруч — один заражений пристрій може швидко скомпрометувати всю інфраструктуру без будь-якого додаткового втручання зловмисників.

Хоча в лабораторних умовах можливість такої вірусної атаки була легко продемонстрована, реальний масштаб і швидкість поширення в польових умовах залежатимуть від багатьох факторів. Серед них — різноманітність використовуваних версій прошивок, фізичне розташування пристроїв відносно одне одного та оперативність випуску виробником виправлень безпеки. Якщо Unitree швидко відреагує та випустить патч, а власники роботів оперативно його встановлять, масштабної епідемії вдасться уникнути. Проте історія кібербезпеки показує, що багато пристроїв залишаються непатченими роками.

Окрім прямого ризику несанкціонованого доступу, UniPwn відкриває нові вектори кібератак на робототехнічну інфраструктуру. У поєднанні з потенційними методами злому ШІ-моделей, які керують поведінкою роботів, ця вразливість може використовуватися для обходу систем безпеки та виконання критичних системних команд на їхніх контролерах. Це ставить під загрозу не лише приватність власників, але й фізичну безпеку людей, які працюють поруч із такими роботами. Випадок з Unitree демонструє нагальну потребу в більш суворих стандартах кібербезпеки для робототехнічної індустрії, яка стрімко розвивається.