Lehetséges, hogy kémek rejtőzködnek az emberszerű robotok mögött?

Technológia

Kiberbiztonsági szakértők figyelmeztetnek arra, hogy egy rendkívül népszerű kínai gyártó által készített emberszerű és négylábú robotok potenciálisan nem veszélytelenek. Ezek a gépek képesek lehetnek adatokat továbbítani Kínába, és lehetőséget adhatnak hackereknek arra, hogy átvegyék az irányítást bizonyos hálózatok felett.

Komoly sebezhetőségre figyelmeztetnek biztonsági kutatók a kínai Unitree Robotics népszerű humanoid és négylábú robotjaival kapcsolatban. A UniPwn néven ismert exploit kihasználásával a támadók átvehetik az irányítást olyan robotok felett, mint a négylábú Unitree Go2 és B2, illetve az emberre hajazó G1 és H1 humanoidok.

Mivel a sebezhetőség a Bluetooth kapcsolaton keresztül terjed, egy fertőzött robot könnyedén veszélyeztetheti a környezetében tartózkodó többi robotot. "A fertőzött robot képes azonnal azonosítani a BLE hatókörében lévő többi Unitree robotot, így automatikusan kockázatot jelenthet számukra, és ezzel egy olyan robot botnetet hozhat létre, amely felhasználói beavatkozás nélkül képes terjedni" - fejtette ki Andreas Makris kutató az IEEE Spectrumnak.

A kutatók részletesen bemutatták a hackelés folyamatát. Az Unitree robotjai, akárcsak sok más fogyasztói eszköz, a Bluetooth Low Energy (BLE) technológiát alkalmazzák a wifi beállításokhoz. Azonban megdöbbentő módon kiderült, hogy a védelmi mechanizmusok, amelyeknek a feladata a kapcsolatok titkosítása, rendkívül gyenge. A betöréshez csupán annyira volt szükség, hogy a "unitree" kifejezést egy előre rögzített, online közzétett kulccsal titkosítsák – ez a kulcs hónapokkal ezelőtt már elérhető volt a neten.

A támadók ezentúl könnyedén bejuttathatják a rosszindulatú kódot a rendszerekbe, anélkül hogy a felhasználók gyanút fognának, hiszen ezeket a wifi-hálózat neve vagy jelszó formájában álcázzák. Amikor a robot csatlakozni próbál, a támadó parancsait root jogosultságokkal hajtja végre. Az egyszerűbb támadások közé tartozhat a robot újraindítása, azonban a támadó ennél sokkal rafináltabb módszereket is alkalmazhat: például trójai vírust rejthet el a robot indítási folyamatában, amely titokban adatokat szivárogtat ki, miközben megakadályozza az új firmware telepítését a felhasználó tudta nélkül. Továbbá, kutatások során kiderült, hogy az Unitree G1 nemcsak titkos megfigyelőeszközként funkcionálhat, hanem mobil kiberműveleti platformként is, képes csendben hang-, videó- és érzékelőadatokat küldeni kínai szerverekre anélkül, hogy a tulajdonos értesülne róla.

A biztonsági szakemberek egyébként azért összpontosítottak a Unitree-re, mert ezek a robotok elérhetőek és megfizethetők. Könnyen hozzáférhetők tehát a kutatók számára, ráadásul relevánsak is, mivel világszerte használják olyanok, akik valószínűleg nincsenek tisztában a biztonsági kockázatokkal. Az Egyesült Királyságban például a nottinghamshire-i rendőrség kezdte tesztelni a Unitree Go2-t, ez a robot viszont ki van téve a szóban forgó sérülékenységnek.

A szakértők szerint a Unitree felelőssége, hogy biztosítsa robotjainak biztonságát, és arra figyelmeztetnek, hogy a vállalatnak lényegesen gyorsabban kellene alkalmazkodnia a felhasználók és a biztonsági kutatók elvárásaihoz.

Időközben a Unitree Robotics közzétett egy nyilatkozatot a LinkedInen. "Tudomásunkra jutott, hogy egyes felhasználók biztonsági réseket és hálózattal kapcsolatos problémákat fedeztek fel robotjaink használata közben. Azonnal elkezdtük kezelni ezeket az aggályokat, és a javítások nagy részét már elvégeztük. A frissítéseket közzétesszük a közeljövőben".

Wi-Fi Bluetooth Kína Egyesült Királyság Rendőrség Robot Titkosítás Elektromérnökök és Elektronikai Mérnökök Intézete Firmware Sebezhetőség (számítógépes biztonság)