ITCOW牛新网 9月30日消息,针对近期曝光的机器人安全漏洞问题,宇树科技(Unitree)在海外社交平台发布声明,确认已注意到相关安全问题并积极开展修复工作。据公司表示,目前已完成大部分修复工作,将在不久后向用户推送安全更新。
此次安全漏洞被研究人员命名为”UniPwn”,涉及宇树科技旗下Go2、B2四足机器人及G1、H1人形机器人等多款产品。漏洞源于蓝牙低功耗(BLE)Wi-Fi配置接口存在的多项安全缺陷,包括硬编码加密密钥、身份验证绕过和命令注入漏洞。攻击者可通过无线方式利用这些漏洞获得机器人的完全root权限。
据ITCOW牛新网了解,该漏洞最令人担忧的特点是具有”蠕虫”传播特性,被感染的机器人能够自动扫描并感染附近蓝牙范围内的其他宇树机器人,可能形成自动传播的机器人僵尸网络。研究人员曾尝试以负责任的方式向宇树科技披露该漏洞,但公司初期的响应速度较慢。
宇树科技在声明中强调,其机器人产品默认设计用于离线使用,不会自动连接到互联网。只有当客户需要特定功能时,才需要手动配置并授权机器人连接网络。在连接网络后,机器人的序列号、健康状态等基本信息可能会被发送到服务器,这种数据收集方式与智能手机等电子设备的运行机制类似。
公司表示将继续改进权限管理体系,尽可能减少潜在的安全风险和使用误解。此次安全更新将重点解决蓝牙低功耗接口的安全缺陷,增强身份验证机制,并修复命令注入漏洞,以防止未经授权的访问和控制。