https://pepelac.news/fi/posts/id2691-unipwn-unitree-roboteissa-vakava-ble-haavoittuvuus

UniPwn: Unitree-roboteissa vakava BLE-haavoittuvuus

UniPwn paljastaa BLE/Wi‑Fi-haavoittuvuuden: Unitreen robotit vaarassa

UniPwn: Unitree-roboteissa vakava BLE-haavoittuvuus

UniPwn paljastaa Unitree-roboteissa vakavan BLE/Wi‑Fi-haavoittuvuuden: hyökkääjä saa täyden hallinnan ja voi muodostaa bottiverkon. Lue suojautumisohjeet.

2025-09-26T12:54:31+03:00

Kyberturvatutkijat ovat paljastaneet Unitreen roboteista vakavan haavoittuvuuden, joka antaa hyökkääjälle täyden hallinnan laitteesta ja voi käytännössä muuttaa sen zombiksi. Ongelma juontuu Wi‑Fi-asetusten tekemisestä Bluetooth Low Energyn (BLE) kautta: koska salausavaimet on kovakoodattu, hyökkääjä voi esiintyä luotettavana laitteena ja syöttää muokattua dataa, jonka robotti suorittaa järjestelmänvalvojan oikeuksin. Niin matala hyökkäyskynnys tuntuu turhan riskialttiilta laitteissa, jotka liikkuvat ja toimivat ihmisten keskellä.UniPwniksi nimetty haavoittuvuus koskee useita suosittuja Unitree-malleja — nelijalkaisia Go2- ja B2-robotteja sekä G1- ja H1-humanoideja. Hyökkäys voi levitä omatoimisesti: kun laite on kaapattu, robotti skannaa lähistöllä olevia Unitreen koneita BLE:n avulla ja voi tartuttaa ne automaattisesti, jolloin syntyy bottiverkko. Tutkijat rajasivat esittelyssään vaikutuksen pakotettuun uudelleenkäynnistykseen, mutta heidän mukaansa vakavammat seuraukset ovat täysin mahdollisia, kuten troijalaisten asentaminen, tiedon huomaamaton ulosvuoto ja päivitysten estäminen.Julkaisun tekijät, Andreas Makris ja Kevin Finisterre, kertoivat ilmoittaneensa Unitreelle ongelmasta toukokuussa 2025. Heidän arvionsa mukaan toimittaja ei korjannut haavoittuvuutta eikä pitänyt yhteyttä heinäkuun jälkeen. Asiantuntijat painottavat, että robotiikan haavoittuvuuksissa riskitaso korostuu, koska kaapatut koneet voivat käyttää fyysistä voimaa — ja Unitreen suhteellisen edulliset robotit ovat jo käytössä monilla aloilla, myös herkissä ympäristöissä. Tilanne vaatii selvästi enemmän kuin pelkkää odottelua.Korjauksen puuttuessa suositellaan suoria, käytännöllisiä toimia: kytke robotista Bluetooth pois päältä, liitä laite eristettyyn ja suojattuun Wi‑Fi-verkkoon ja vältä näiden järjestelmien yhdistämistä jaettuun verkko-osioon. Pidemmällä aikavälillä tutkijat katsovat, että Unitreen on syytä avata uudelleen keskusteluyhteys tietoturvayhteisön kanssa ja paikata viat ripeästi; muuten käyttäjien ja operaattorien riskitaso pysyy epämukavan korkeana.Käytännössä tällainen heikkous voi osua sekä kuluttajiin että teollisuusasiakkaisiin, jotka nojaavat näihin malleihin. Samalla se korostaa tarvetta nopeampaan ja läpinäkyvämpään reagointiin ulkopuolisten asiantuntijoiden esiin nostamiin ongelmiin — ennen kuin rajattu haavauma laajenee joksikin paljon hankalammaksi.

UniPwn, Unitree, robotti, robotit, haavoittuvuus, BLE, Wi‑Fi, Bluetooth, bottiverkko, kyberturva, tietoturva, Go2, B2, G1, H1, exploit, kovakoodatut avaimet, hallinnan kaappaus, suojautuminen

2025

Danny Weber

news

UniPwn paljastaa BLE/Wi‑Fi-haavoittuvuuden: Unitreen robotit vaarassa

UniPwn paljastaa Unitree-roboteissa vakavan BLE/Wi‑Fi-haavoittuvuuden: hyökkääjä saa täyden hallinnan ja voi muodostaa bottiverkon. Lue suojautumisohjeet.

Danny Weber, Editor

12:54 26-09-2025

UniPwniksi nimetty haavoittuvuus koskee useita suosittuja Unitree-malleja — nelijalkaisia Go2- ja B2-robotteja sekä G1- ja H1-humanoideja. Hyökkäys voi levitä omatoimisesti: kun laite on kaapattu, robotti skannaa lähistöllä olevia Unitreen koneita BLE:n avulla ja voi tartuttaa ne automaattisesti, jolloin syntyy bottiverkko. Tutkijat rajasivat esittelyssään vaikutuksen pakotettuun uudelleenkäynnistykseen, mutta heidän mukaansa vakavammat seuraukset ovat täysin mahdollisia, kuten troijalaisten asentaminen, tiedon huomaamaton ulosvuoto ja päivitysten estäminen.

Julkaisun tekijät, Andreas Makris ja Kevin Finisterre, kertoivat ilmoittaneensa Unitreelle ongelmasta toukokuussa 2025. Heidän arvionsa mukaan toimittaja ei korjannut haavoittuvuutta eikä pitänyt yhteyttä heinäkuun jälkeen. Asiantuntijat painottavat, että robotiikan haavoittuvuuksissa riskitaso korostuu, koska kaapatut koneet voivat käyttää fyysistä voimaa — ja Unitreen suhteellisen edulliset robotit ovat jo käytössä monilla aloilla, myös herkissä ympäristöissä. Tilanne vaatii selvästi enemmän kuin pelkkää odottelua.

Korjauksen puuttuessa suositellaan suoria, käytännöllisiä toimia: kytke robotista Bluetooth pois päältä, liitä laite eristettyyn ja suojattuun Wi‑Fi-verkkoon ja vältä näiden järjestelmien yhdistämistä jaettuun verkko-osioon. Pidemmällä aikavälillä tutkijat katsovat, että Unitreen on syytä avata uudelleen keskusteluyhteys tietoturvayhteisön kanssa ja paikata viat ripeästi; muuten käyttäjien ja operaattorien riskitaso pysyy epämukavan korkeana.

Käytännössä tällainen heikkous voi osua sekä kuluttajiin että teollisuusasiakkaisiin, jotka nojaavat näihin malleihin. Samalla se korostaa tarvetta nopeampaan ja läpinäkyvämpään reagointiin ulkopuolisten asiantuntijoiden esiin nostamiin ongelmiin — ennen kuin rajattu haavauma laajenee joksikin paljon hankalammaksi.