中國宇樹機器人爆藍牙漏洞 可遭集體控制

中國宇樹機器人被爆有嚴重安全漏洞,不但會向中國伺服器傳送遙測數據,其藍牙漏洞恐「感染」成殭屍網路。在機器人「互相感染」之下,攻擊者可控制大批機器人。此外,研究人員也發現宇樹機器人的遙測資料流向中國伺服器,可能包含音訊及影像。
美國的全球權威科技和工程類刊物《IEEE Spectrum》9月25日引述資訊安全人員指出,宇樹科技多款機器人使用的低功耗藍牙(BLE)WiFi配置接口存在嚴重漏洞,攻擊者可藉此取得root權限(Android系統的超級使用者權限),從而控制整台機器。
資安研究人員馬克里斯(Andreas Makris)指出,受感染的機器人只需掃描藍牙範圍內的其他宇樹機器人,即可自動入侵它們,從而創建一個毋須使用者操作即可傳播的機器人殭屍網路。攻擊者藉此可控制大批機器人。
受影響的機款包括宇樹Go2及B2四足機器狗,以及G1及H1人形機器人。
機器人網路安全公司Alias Robotics創辦人馬約拉-維爾切斯(Victor Mayoral-Vilches)建議宇樹機器人用戶,可將機器人連接到完全隔離的WiFi網路,並停用藍牙連接。
專家:開發馬虎或故意留漏洞?
這是商業人形機器人平台首次被公開的重大漏洞。IEEE Spectrum表示,資安研究人員今年5月首次為此聯繫宇樹,但經反覆溝通後進展不大,且該公司7月起已不再回應。於是研究人員決定公開這項漏洞。馬克里斯質疑,宇樹是故意引入這類漏洞,還是開發過程馬虎?
另外,馬約拉-維爾切斯還發現宇樹機器人的其他問題,包括未公開披露會向中國伺服器傳送可能包含音訊、影像和空間數據的遙測數據。◇