Безопасность ряда популярных моделей роботов от компании Unitree оказалась под угрозой из-за обнаружения критической уязвимости, получившей название UniPwn. Эксперты по кибербезопасности выявили комплекс недостатков, позволяющий злоумышленникам удаленно захватывать контроль над устройствами. Об этом сообщает издание Techradar.
Уязвимость затрагивает несколько линеек продукции Unitree, включая двуногих роботов серий G1 и H1, а также четвероногих моделей Go2 и B2.
Ключевые проблемы безопасности кроются в нескольких аспектах реализации беспроводного соединения. Исследователи обнаружили использование жёстко заданных криптографических ключей в протоколе Bluetooth Low Energy (BLE), примитивный механизм аутентификации и критическое отсутствие фильтрации пользовательского ввода, который в некоторых случаях напрямую подставляется в системные shell-команды.
Данное сочетание уязвимостей дает возможность удаленно выполнить произвольный код с наивысшими привилегиями (правами суперадминистратора) на скомпрометированном роботе.
Особую опасность представляет способность сервиса, содержащего уязвимость, работать по беспроводным каналам связи. Заражённый робот может автоматически сканировать окружающее пространство в радиусе действия Bluetooth и инфицировать другие незащищенные устройства Unitree. Специалисты сравнивают это поведение с действием «червя», способного к самораспространению в среде уязвимых роботов.
Источник: hi-tech.mail.ru