Danny Weber
12:56 26-09-2025
© A. Krivonosov
Kutatók az UniPwn hibát találták a Unitree robotokban: BLE-n át root joggal átvehető az irányítás, önterjesztő botnet is fenyeget. Védekezési tippek és tanácsok
Kiberbiztonsági kutatók súlyos hibát tártak fel a Unitree robotjaiban, amely lehetővé teszi, hogy támadók teljesen átvegyék az eszköz irányítását, gyakorlatilag zombivá téve azt. A gond a Wi‑Fi beállítás Bluetooth Low Energy-n (BLE) keresztül zajló folyamatából ered: mivel a titkosítási kulcsok be vannak égetve, a támadó megbízható eszköznek álcázhatja magát, és olyan adatokat küldhet a robotnak, amelyeket az root jogosultsággal hajt végre.
A sebezhetőség neve UniPwn, és több népszerű Unitree-modellt érint: a Go2 és B2 négylábúakat, valamint a G1 és H1 humanoidokat. A kihasználás önterjesztő is lehet: ha egy robot kompromittálódik, BLE-n keresztül felkutatja a közeli Unitree gépeket, és automatikusan megfertőzheti őket, botnetet alkotva. A kutatók bemutatójukban a hatást kényszerített újraindításra korlátozták, ugyanakkor figyelmeztettek, hogy ennél veszélyesebb kimenetelek is elképzelhetők – például trójai telepítése, észrevétlen adatkiszipolyozás vagy a frissítések blokkolása.
A vizsgálat szerzői, Andreas Makris és Kevin Finisterre azt közölték, hogy már 2025 májusában értesítették a Unitree-t. Állításuk szerint a gyártó sem a hibát nem javította, sem július után nem tartotta velük a kapcsolatot. Az elhúzódó csend érthetően aggasztó, hiszen a robotikában talált sérülékenységek különösen kockázatosak: a kompromittált gépek fizikai erőt fejthetnek ki, miközben a viszonylag megfizethető Unitree-robotok már több, köztük érzékeny területen is jelen vannak.
Amíg nincs javítás, a szakértők egyszerű, gyakorlatias lépéseket javasolnak: kapcsolják ki a Bluetooth-t a roboton, helyezzék azt elszigetelt, biztonságos Wi‑Fi hálózatra, és kerüljék a közös hálózati szegmenseket. Hosszabb távon a kutatók szerint a Unitree-nek újra fel kell vennie a párbeszédet a biztonsági közösséggel, és gyorsan orvosolnia a hibákat; enélkül a felhasználók és az üzemeltetők kockázati szintje kellemetlenül magas marad.
A gyakorlatban egy ilyen gyengeség a hétköznapi vásárlókat és az ipari ügyfeleket egyaránt érintheti, akik ezekre a modellekre támaszkodnak. Ez pedig rávilágít arra, mennyire fontos a külső szakértők jelzéseire adott gyorsabb és átláthatóbb reakció – még azelőtt, hogy egy kézben tartható probléma nagyobbra nőne.