蓝牙缺陷致机器人失控!宇树科技 “UniPwn” 漏洞引担忧 官方称修复近完成
内容由AI智能生成,仅供参考
IEEE Spectrum 披露宇树科技多型号机器人存 “UniPwn” 漏洞,攻击者可无线获 root 权限,漏洞还能让机器人自动感染同类形成僵尸网络。研究人员曾披露无果,宇树 9 月 29 日回应称修复近完成,专家建议用户暂禁蓝牙降风险。
日前,IEEE Spectrum 披露,宇树科技旗下 Go2、B2 四足机器人及 G1、H1 人形机器人存在名为 “UniPwn” 的关键安全漏洞。该漏洞源于蓝牙低功耗(BLE)Wi-Fi 配置接口缺陷,因采用硬编码加密密钥且缺乏安全验证,攻击者可无线获取机器人 root 权限,植入恶意代码。
更严峻的是,漏洞具有 “蠕虫” 特性,被感染机器人能自动扫描并入侵蓝牙范围内同类设备,形成无需人工干预的僵尸网络。据悉,研究人员 5 月已尝试向宇树科技披露问题,但沟通无果后于 7 月公开密钥,9 月正式曝光漏洞详情。
对此,宇树科技 9 月 29 日在 X 平台回应,称已完成大部分修复工作,更新即将推送。公司强调产品默认离线使用,联网需用户授权,仅传输序列号等基础信息,与智能手机运行逻辑类似,并承诺优化权限管理。目前专家建议用户暂禁蓝牙、连接隔离 Wi-Fi 降低风险。
[责任编辑:周小娟]
