IT之家 9 月 30 日消息,IEEE Spectrum 日前发布文章称,宇树科技 (Unitree) 旗下 Go2、B2 四足机器人及 G1、H1 人形机器人存在名为“UniPwn”的关键安全漏洞。该漏洞源于蓝牙低功耗 (BLE) Wi-Fi 配置接口的多项安全缺陷,包括硬编码加密密钥、身份验证绕过和命令注入漏洞,攻击者可通过无线方式获得机器人的完全 root 权限。
更令人担忧的是,该漏洞具有“蠕虫”特性,被感染的机器人能够自动扫描并感染附近蓝牙范围内的其他宇树机器人,形成自动传播的机器人僵尸网络。研究人员此前曾尝试负责任地向宇树科技披露该漏洞,但公司反应迟缓。
IT之家注意到,宇树科技于 9 月 29 日在 X 上发布声明称,已经注意到,一些用户在使用其机器人产品时发现了安全漏洞和网络相关问题。公司立即开始解决这些问题,目前已完成大部分修复工作,将在不久后推送更新。
宇树科技表示,默认情况下,其机器人产品设计用于离线使用,不会连接到互联网。只有当客户需要部分功能时,才需要手动配置并授权机器人连接互联网。在连接网络后,机器人的序列号、健康状态等基本产品信息可能会被发送到服务器,这与智能手机等电子设备的运行方式类似。公司将继续改进权限管理,以尽可能减少潜在误解。
新浪科技公众号
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
