UniPwn je kritická zranitelnost robotů Unitree: přes BLE lze získat root a šířit se na další stroje. Rizika, postižené modely a doporučení ochrany nyní.
© A. Krivonosov
Bezpečnostní výzkumníci odhalili vážnou chybu v robotech Unitree, která útočníkům umožňuje převzít nad strojem plnou kontrolu a proměnit ho v poslušného „zombíka“. Slabina vzniká při nastavování Wi‑Fi přes Bluetooth Low Energy (BLE): protože šifrovací klíče jsou v systému napevno zadané, může se útočník vydávat za důvěryhodné zařízení a podsouvat upravená data, která robot vykoná s právy správce (root). Pohodlné prvotní párování se tak mění ve slabé místo.
Zranitelnost označená jako UniPwn zasahuje několik oblíbených modelů Unitree — čtyřnohé Go2 a B2 i humanoidní G1 a H1. Exploit se navíc dokáže šířit sám: jakmile je robot kompromitován, přes BLE prohledává okolí po dalších strojích Unitree a může je automaticky nakazit, čímž vytváří botnet. Ve své ukázce výzkumníci dopad omezili na vynucený restart, zároveň ale upozornili, že reálně hrozí i závažnější scénáře, například instalace trojanů, skryté odcizování dat či blokování aktualizací.
Podle autorů studie Andrease Makrise a Kevina Finisterreho nahlásili Unitree problém už v květnu 2025. Tvrdí, že výrobce chybu neopravil a po červenci s nimi přestal udržovat kontakt. Odborníci připomínají, že zranitelnosti v robotice nesou zvýšené riziko, protože napadené stroje mohou vyvíjet fyzickou sílu — a relativně dostupné roboty Unitree už pronikly do řady oblastí, včetně citlivých. O to víc působí ticho ze strany dodavatele nešťastně.
Než dorazí oprava, doporučují specialisté jednoduché a praktické kroky: vypnout u robota Bluetooth, připojit ho jen do izolované a zabezpečené sítě Wi‑Fi a vyhnout se sdíleným segmentům. Do budoucna podle výzkumníků bude nezbytné, aby Unitree obnovila dialog s bezpečnostní komunitou a opravovala chyby bez prodlevy; jinak zůstane míra rizika pro uživatele i operátory strojů nepříjemně vysoká.