-
日期: 2025-10-03 | 來源: 自由時報 | 有0人參與評論 | 字體: 小 中 大
中國正不斷鞏固在全球機器人技術領導者的地位,號稱是中國機器人龍頭企業的宇樹科技(Unitree Robotics),卻被爆出最新的重大資安漏洞。據報道,宇樹科技的G1人形機器人,每隔5分鍾就會自動向位於中國的伺服器回傳數據,內容包括音訊、視訊以及各種感測器資料,這些都是未經擁有者的同意或告知。
此外,根據《IEEE Spectrum》報道,安全研究人員Andreas Makris和Kevin Finisterre在上個月20日揭露,宇樹科技多款機器人使用的低功耗藍牙(Bluetooth Low Energy, BLE)WiFi配置介面存在壹項嚴重的漏洞,可能讓攻擊者取得root等級的控制權限。
值得注意的是,這個漏洞被稱為“UniPwn”,影響宇樹科技的Go2與B2肆足機器人,以及G1與H1人形機器人,並具備“蠕蟲化”特性。
所謂“蠕蟲化”,是指壹旦某台機器人被感染,就能直接掃描 BLE 范圍內的其他 Unitree 機器人並自動入侵,進而建立壹個無需人工幹預即可擴散的機器人僵屍網絡(botnet)。根據《IEEE Spectrum》,這是商業人形機器人平台首次被公開的重大漏洞。
分析師表示,宇樹科技是接單銷售最積極的中國機器人新創公司,號稱在全球銷售機器人的市占達60-70%。近年憑借價格低於競爭對手、容易取得的肆足與人形機器人,迅速打入多國實驗室、大學,甚至部分警察單位。
報道指出,宇樹科技的BLE漏洞是如何被利用。簡單來說,宇樹科技機器人與其他機器人壹樣,會使用初始的低功耗藍牙(BLE)連線,以協助使用者設定Wi-Fi網絡。盡管BLE有加密,但若黑客使用早已外泄的硬編碼加密金鑰“unitree”,透過這把“通用鑰匙”,即可成為經過驗證的使用者,透過藍牙入侵。
專家點名,中國宇樹科技的人形機器人有重大新漏洞。(擷取自社交媒體)
之後,攻擊者便能注入偽裝成Wi-Fi SSID與密碼的任意程式碼,當機器人嘗試連接該Wi-Fi時,便會在沒有任何驗證的情況下以root權限執行該程式碼。換句話說,原本為便利而設計的功能,卻可能被黑客利用,完全控制機器人。
他指稱,過去也在Unitree Go1機器人發現後門漏洞,到底這些漏洞是刻意設計,還是單純的草率開發,不管哪個答案都很糟糕。此外,Makris也發現,G1人形機器人每隔5分鍾就會自動向位於中國的伺服器回傳數據,這些都未經擁有者同意或告知。
據報道,這2位安全研究人員在今年5月聯系宇樹科技,嘗試“負責任地揭露”這個漏洞。宇樹科技卻直到上個月29日表示,他們已經注意到部分用戶發現了安全漏洞與網絡相關問題,聲稱已完成大部分修復,近期推送更新。- 新聞來源於其它媒體,內容不代表本站立場!
-
原文鏈接
原文鏈接:
目前還沒有人發表評論, 大家都在期待您的高見