https://pepelac.news/nl/posts/id2689-unitree-robots-gekraakt-ble-lek-geeft-root-en-botnet

Unitree-robots gekraakt: BLE-lek geeft root en botnet

Ernstige kwetsbaarheid in Unitree-robots: BLE-config leidt tot root en botnetverspreiding

Unitree-robots gekraakt: BLE-lek geeft root en botnet

UniPwn onthult een ernstig BLE-lek in Unitree-robots (Go2, B2, G1, H1) dat root-toegang en botnetverspreiding mogelijk maakt. Zie risico’s en directe tips.

2025-09-26T12:52:57+03:00

Cybersecurity-onderzoekers hebben een ernstige zwakke plek blootgelegd in robots van Unitree. Aanvallers kunnen daardoor volledige controle over een toestel grijpen en het in wezen in een zombie veranderen. Het probleem zit in het wifi-instelproces via Bluetooth Low Energy (BLE): omdat de encryptiesleutels hardcoded zijn, kan een kwaadwillende zich voordoen als een vertrouwd apparaat en speciaal geconstrueerde data doorsturen die de robot met rootrechten uitvoert. Dat is een gevaarlijke combinatie.De kwetsbaarheid, door de onderzoekers UniPwn gedoopt, treft meerdere populaire modellen van Unitree: de viervoeters Go2 en B2, en de humanoïden G1 en H1. De exploit kan zichzelf verspreiden: eenmaal gecompromitteerd scant een robot via BLE naar nabijgelegen Unitree-machines en kan die automatisch infecteren, waardoor een botnet ontstaat. In hun demonstratie beperkten de onderzoekers de impact tot een geforceerde herstart, maar zij waarschuwden dat zwaardere scenario’s mogelijk zijn, zoals het installeren van Trojaanse paarden, heimelijke data-exfiltratie en het blokkeren van updates.Volgens de auteurs van het onderzoek, Andreas Makris en Kevin Finisterre, hebben zij Unitree al in mei 2025 ingelicht. Zij stellen dat de leverancier het probleem niet heeft verholpen en na juli ook geen contact meer onderhield. Experts benadrukken dat kwetsbaarheden in robotica extra risico meebrengen, omdat gecompromitteerde machines fysieke kracht kunnen uitoefenen—en de relatief betaalbare robots van Unitree inmiddels in uiteenlopende, ook gevoelige sectoren worden ingezet. Het uitblijven van voortgang stemt allerminst gerust.Totdat er een patch komt, adviseren specialisten eenvoudige, praktische stappen: schakel Bluetooth op de robot uit, plaats het systeem op een geïsoleerd en goed beveiligd wifi-netwerk, en koppel deze apparaten niet aan een gedeeld segment. Op de langere termijn, zo betogen de onderzoekers, moet Unitree het gesprek met de securitygemeenschap hervatten en kwetsbaarheden tijdig aanpakken; anders blijft het risiconiveau voor gebruikers en robotoperators oncomfortabel hoog. Geen ingewikkelde kunstgrepen—wel discipline.In de praktijk kan zo’n zwakke plek zowel alledaagse gebruikers als industriële klanten treffen die op deze modellen vertrouwen. Het is ook een duidelijke aanwijzing dat meldingen van buiten sneller en transparanter moeten worden opgepakt, voordat een beheersbaar probleem uitgroeit tot iets groters. Een waarschuwing die beter vroeg dan laat ter harte wordt genomen.

Unitree, Unitree robots, kwetsbaarheid, BLE, Bluetooth Low Energy, wifi, hardcoded keys, root-toegang, botnet, UniPwn, Go2, B2, G1, H1, exploit, robotica, cybersecurity, patch, mitigaties

2025

Danny Weber

news

Ernstige kwetsbaarheid in Unitree-robots: BLE-config leidt tot root en botnetverspreiding

UniPwn onthult een ernstig BLE-lek in Unitree-robots (Go2, B2, G1, H1) dat root-toegang en botnetverspreiding mogelijk maakt. Zie risico’s en directe tips.

Danny Weber, Editor

12:52 26-09-2025

De kwetsbaarheid, door de onderzoekers UniPwn gedoopt, treft meerdere populaire modellen van Unitree: de viervoeters Go2 en B2, en de humanoïden G1 en H1. De exploit kan zichzelf verspreiden: eenmaal gecompromitteerd scant een robot via BLE naar nabijgelegen Unitree-machines en kan die automatisch infecteren, waardoor een botnet ontstaat. In hun demonstratie beperkten de onderzoekers de impact tot een geforceerde herstart, maar zij waarschuwden dat zwaardere scenario’s mogelijk zijn, zoals het installeren van Trojaanse paarden, heimelijke data-exfiltratie en het blokkeren van updates.

Volgens de auteurs van het onderzoek, Andreas Makris en Kevin Finisterre, hebben zij Unitree al in mei 2025 ingelicht. Zij stellen dat de leverancier het probleem niet heeft verholpen en na juli ook geen contact meer onderhield. Experts benadrukken dat kwetsbaarheden in robotica extra risico meebrengen, omdat gecompromitteerde machines fysieke kracht kunnen uitoefenen—en de relatief betaalbare robots van Unitree inmiddels in uiteenlopende, ook gevoelige sectoren worden ingezet. Het uitblijven van voortgang stemt allerminst gerust.

Totdat er een patch komt, adviseren specialisten eenvoudige, praktische stappen: schakel Bluetooth op de robot uit, plaats het systeem op een geïsoleerd en goed beveiligd wifi-netwerk, en koppel deze apparaten niet aan een gedeeld segment. Op de langere termijn, zo betogen de onderzoekers, moet Unitree het gesprek met de securitygemeenschap hervatten en kwetsbaarheden tijdig aanpakken; anders blijft het risiconiveau voor gebruikers en robotoperators oncomfortabel hoog. Geen ingewikkelde kunstgrepen—wel discipline.

In de praktijk kan zo’n zwakke plek zowel alledaagse gebruikers als industriële klanten treffen die op deze modellen vertrouwen. Het is ook een duidelijke aanwijzing dat meldingen van buiten sneller en transparanter moeten worden opgepakt, voordat een beheersbaar probleem uitgroeit tot iets groters. Een waarschuwing die beter vroeg dan laat ter harte wordt genomen.