中國宇樹機器人爆藍牙漏洞 可遭集體控制

中國宇樹機器人被爆有嚴重安全漏洞，不但會向中國伺服器傳送遙測數據，其藍牙漏洞恐「感染」成殭屍網路。在機器人「互相感染」之下，攻擊者可控制大批機器人。此外，研究人員也發現宇樹機器人的遙測資料流向中國伺服器，可能包含音訊及影像。

美國的全球權威科技和工程類刊物《IEEE Spectrum》9月25日引述資訊安全人員指出，宇樹科技多款機器人使用的低功耗藍牙（BLE）WiFi配置接口存在嚴重漏洞，攻擊者可藉此取得root權限（Android系統的超級使用者權限），從而控制整台機器。

資安研究人員馬克里斯（Andreas Makris）指出，受感染的機器人只需掃描藍牙範圍內的其他宇樹機器人，即可自動入侵它們，從而創建一個毋須使用者操作即可傳播的機器人殭屍網路。攻擊者藉此可控制大批機器人。

受影響的機款包括宇樹Go2及B2四足機器狗，以及G1及H1人形機器人。

機器人網路安全公司Alias Robotics創辦人馬約拉-維爾切斯（Victor Mayoral-Vilches）建議宇樹機器人用戶，可將機器人連接到完全隔離的WiFi網路，並停用藍牙連接。

專家：開發馬虎或故意留漏洞？

這是商業人形機器人平台首次被公開的重大漏洞。IEEE Spectrum表示，資安研究人員今年5月首次為此聯繫宇樹，但經反覆溝通後進展不大，且該公司7月起已不再回應。於是研究人員決定公開這項漏洞。馬克里斯質疑，宇樹是故意引入這類漏洞，還是開發過程馬虎？

另外，馬約拉-維爾切斯還發現宇樹機器人的其他問題，包括未公開披露會向中國伺服器傳送可能包含音訊、影像和空間數據的遙測數據。◇