Обнаружена уязвимость в гуманоидных роботах Unitree, позволяющая создавать ботнеты

Исследователи кибербезопасности обнаружили критическую уязвимость в гуманоидных роботах компании Unitree, которая позволяет злоумышленникам создавать самораспространяющиеся ботнеты через Bluetooth Low Energy (BLE).

Эксплойт под названием UniPwn, по словам авторов Андреаса Макириса (Bin4ryDigit) и Кевина Финистера, является «первым публичным эксплойтом для гуманоидных роботов». Уязвимость затрагивает всю новую продуктовую линейку Unitree.

Проблема заключается в «смехотворно простом» процессе проверки подлинности между устройствами, который ищет строку «unitree» в зашифрованных пакетах. После подключения злоумышленники могут внедрять вредоносные нагрузки и получать контроль над роботами с правами root.

«Зараженный робот может сканировать других роботов Unitree в радиусе действия BLE и автоматически их компрометировать, создавая ботнет, который распространяется без вмешательства пользователя»

Исследователи заявляют, что многократно пытались связаться с Unitree, но компания не проявила «значимой заинтересованности в устранении проблем безопасности».

После публикации отчета Unitree выпустила заявление в LinkedIn, сообщив, что «завершила большую часть исправлений» и в ближайшее время выпустит обновления. Компания подчеркнула свою приверженность кибербезопасности.

Однако Виктор Майораль-Вильчес, основатель компании Alias Robotics, отмечает, что Unitree, как и другие производители, ранее игнорировала сообщения об уязвимостях.

Unitree известна своими роботами-собаками и гуманоидными роботами, которые участвовали в первых турнирах по робо-боям и демонстрировали необычное поведение — от танцев до падений.

Уязвимости в робототехнике становятся все более актуальной проблемой по мере роста их распространения. В 2025 году ожидается увеличение числа подобных инцидентов, что требует более строгих стандартов безопасности в отрасли.