Специалисты по кибербезопасности из немецкой компании thinkAwesome GmbH выявили серьезную уязвимость в популярных робототехнических системах Unitree Go1. Исследование показало наличие предустановленного недокументированного туннельного сервиса, который может быть использован для несанкционированного удаленного доступа к устройствам.
Технические детали уязвимости
В ходе анализа установлено, что роботами управляет система на базе Raspberry Pi, автоматически запускающая проприетарный туннельный сервис CloudSail (Zhexi) при подключении к интернету. Данный сервис, разработанный компанией Zhexi Technology для китайского рынка, предназначен для обхода NAT и организации удаленного доступа к IoT-устройствам. Используя стандартные учетные данные (pi/123) и API-ключ, злоумышленники могут получить полный контроль над устройством, включая доступ к камерам и возможность удаленного управления.
Масштаб проблемы и потенциальные риски
Исследователям удалось идентифицировать 1919 потенциально уязвимых устройств, распределенных по всему миру. Особую обеспокоенность вызывает обнаружение роботов Unitree Go1 в сетях различных университетов США, Канады, Германии, Новой Зеландии, Австралии и Японии. Наличие бэкдора создает серьезные риски для безопасности, особенно учитывая применение этих роботов в поисково-спасательных операциях и военных целях.
Рекомендации по обеспечению безопасности
Эксперты настоятельно рекомендуют владельцам Unitree Go1 немедленно отключить устройства от сети и провести тщательный аудит системных логов на предмет возможной компрометации. Специалисты thinkAwesome GmbH предполагают, что аналогичные уязвимости могут присутствовать и в новой модели Go2, хотя это предположение требует дополнительной проверки.
Данный инцидент подчеркивает критическую важность тщательного аудита безопасности роботизированных систем, особенно используемых в чувствительных областях. Хотя эксперты считают появление бэкдора следствием недостаточного контроля качества, а не преднамеренным действием, этот случай демонстрирует необходимость повышенного внимания к кибербезопасности в сфере робототехники.
