Deutsche Cybersecurity-Experten haben eine gravierende Sicherheitslücke in den weitverbreiteten Robotersystemen Unitree Go1 aufgedeckt. Das Forschungsteam der thinkAwesome GmbH identifizierte einen nicht dokumentierten Tunnel-Service, der potenziellen Angreifern vollständigen Fernzugriff auf die betroffenen Geräte ermöglicht.
Technische Analyse der Sicherheitslücke
Die Untersuchungen ergaben, dass die Roboter auf einem Raspberry Pi-System basieren, das automatisch den proprietären Tunnel-Dienst CloudSail (Zhexi) startet. Besonders kritisch ist die Verwendung Standard-Zugangsdaten (pi/123) in Kombination mit einem API-Schlüssel, die Angreifern weitreichende Kontrolle über die Systeme ermöglichen – von der Kamerasteuerung bis hin zur vollständigen Übernahme der Bewegungssteuerung.
Globale Dimension der Bedrohung
Die Sicherheitsforscher haben weltweit 1919 potenziell verwundbare Robotersysteme identifiziert. Besonders besorgniserregend ist die Präsenz dieser Geräte in akademischen Einrichtungen mehrerer Länder, darunter die USA, Deutschland und Japan. Die Systeme finden auch in sicherheitskritischen Bereichen wie Such- und Rettungseinsätzen Verwendung, was die Brisanz der Sicherheitslücke zusätzlich erhöht.
Sicherheitsmaßnahmen und Handlungsempfehlungen
Für Betreiber von Unitree Go1 Systemen ist unmittelbares Handeln erforderlich:
– Sofortige Trennung der Systeme vom Netzwerk
– Durchführung einer forensischen Analyse der Systemprotokolle
– Implementation zusätzlicher Sicherheitsmaßnahmen wie Firewalls und VPNs
– Änderung aller Standard-Zugangsdaten
Weitreichende Implikationen für die Robotersicherheit
Der Vorfall unterstreicht die wachsende Bedeutung umfassender Sicherheitsaudits in der Robotik. Experten warnen, dass ähnliche Schwachstellen auch in anderen Robotersystemen existieren könnten. Die Integration von IoT-Geräten in kritische Infrastrukturen erfordert erhöhte Aufmerksamkeit für Cybersecurity-Aspekte.
Diese Entdeckung markiert einen Wendepunkt in der Diskussion um die Sicherheit autonomer Robotersysteme. Während die Implementierung des CloudSail-Dienstes vermutlich nicht böswillig erfolgte, zeigt der Fall deutlich die Notwendigkeit verbesserter Sicherheitsstandards in der Robotik-Industrie. Hersteller und Betreiber müssen ihre Sicherheitsprotokolle überdenken und robuste Schutzmaßnahmen implementieren, um ähnliche Vorfälle in Zukunft zu verhindern.
