В робособаках Unitree нашли опасную для пользователей уязвимость

Исследователи кибербезопасности обнаружили скрытую уязвимость в роботах Unitree Go1. По данным исследователей, когда устройство соединяется с интернетом и подключается к серверам unitree.com, у него автоматически активируется функция удаленного доступа.

Опасность заключается в том, что любой, кто имеет ключ API, может получить доступ ко всем роботам-собакам в туннельной сети. Это позволяет удаленно управлять устройствами, использовать их камеры для наблюдения и даже подключаться к встроенному процессору Raspberry Pi через SSH. Исследователи подчеркивают, что производитель явно не информирует пользователей о наличии такой функции.

Стоимость робота-собаки Unitree Go1 в США составляет менее $4 тыс. Согласно данным из API CloudSail, всего к этому сервису когда-либо подключались 1919 устройств, хотя в настоящее время активны только два. Кроме того, роботы поставляются с установленными по умолчанию учетными данными SSH — если пользователь не поменяет их после покупки, хакеры могут легко проникнуть в локальные сети.

Используя собственный инструмент управления туннелями, исследователи смогли создать проход к активным клиентам, получив прямой доступ к веб-интерфейсу робота и потоковому видео с камер без необходимости ввода учетных данных. Это представляет серьезную угрозу безопасности, особенно в чувствительных средах, где могут использоваться эти роботы-собаки.

Исследователи рекомендуют владельцам таких роботов полностью отключить их от сети и проверить все доступные журналы на предмет возможного взлома. Существует также опасение, что подобные уязвимости могут присутствовать и в других продуктах Unitree, включая робособак Go2 и андроидов.