This post is also available in:
English (אנגלית)
גילוי שנערך לאחרונה על ידי חוקרי אבטחה בסטארט-אפ הגרמני ThinkAwesome GmbH, חשף פגם אבטחה משמעותי בכלבי הרובוט הפופולריים Unitree Go1. הרובוטים בעלי ארבע הרגליים, הידועים במחירם הנמוך וברב-שימושיות שלהם, מכילים מנהרת גישה מרחוק בלתי מתועדת שיכול לאפשר לאנשים בלתי מורשים להשתלט על המכשירים ולגשת למצלמות שלהם מרחוק.
הרובוטים, המיוצרים על ידי חברת Unitree Robotics הסינית, משווקים למגזרים שונים, כולל אוניברסיטאות, מוסדות מחקר ואפילו יישומים צבאיים. עם דגמים הנעים בין 2,500 דולר עבור גרסת ה-"Air" הבסיסית ל-8,500 דולר לדגם ה-"edu" המתקדם יותר, הם משכו תשומת לב לאור עלותם הנמוכה יחסית בהשוואה לפלטפורמות רובוטיות אחרות.
בלב הבעיה עומד שירות בשם CloudSail (Zhexi), שירות מנהרת גישה מרחוק שהותקן מראש במכשירים. שירות זה, שנועד בדרך כלל לספק גישה מרחוק למכשירי IoT ומערכות אחרות, מאפשר חיבורים בין רשתות שונות, בזמן שעוקף חומות אש או הגבלות NAT. מומחי האבטחה אנדריאס מאקריס וקווין פיניסטר, שגילו את החולשה, מצאו שכל מי שיש לו את נתוני הכניסה של ברירת המחדל ומפתח API ספציפי יכול לשלוט ברובוטים ולגשת למצלמות שלו.
החוקרים הצליחו לזהות 1,919 מכשירים עם החולשה, שחלקם ממוקמים מחוץ לסין, כולל ברשתות אקדמיות וארגונים ברחבי העולם. החוקרים לא מצאו ראיות להשתלה מכוונת של דלת אחורית, והם מייחסים את החולשה לנוהלי ביקורת קוד לקויים ב-Unitree Robotics. פגם האבטחה מציב סיכונים חמורים, במיוחד בסביבות רגישות, שבהן גורמים בלתי מורשים מסוגלים לגשת מרחוק לכלבים רובוטיים ולשלוט בהם.
לאור הממצאים, החוקרים קוראים למשתמשים של Unitree Go1 להסיר את המכשירים מהרשתות שלהם ולבדוק את המערכות שלהם לפריצה פוטנציאלית. ישנו סיכון כי חולשות דומות יכולות להתקיים בגרסאות חדשות יותר של הרובוט או במוצרים אחרים מהיצרן.
