Stručnjaci za sajber bezbjednost su ove sedmice podigli uzbunu nakon što su otkrili skrivenu uslugu daljinskog pristupa unaprijed instaliranu na Unitree Go1 robotskom psu, upozoravajući da se ova zadnja vrata aktiviraju čim uređaj detektuje internet konekciju.
Prema dokumentaciji koju su objavili istraživači Andreas Makris i Kevin Finisterre, četvoronožni robot koji je razvila kineska kompanija Unitree Robotics sadrži neudokumentovanu tunelsku uslugu koja automatski uspostavlja vezu sa unitree.com ukoliko je određena varijabla omogućena.
Istraživači navode da tunelska usluga koristi CloudSail, rješenje za daljinski pristup koje je razvila kineska kompanija Zhexi Technology. Iako je CloudSail inače namijenjen legitimnom upravljanju uređajima na daljinu, u ovom slučaju se koristi za omogućavanje spoljnog pristupa robotskom psu.
“Svako ko ima pristup API ključu može slobodno pristupiti svim robotskim psima na tunelskoj mreži, daljinski ih kontrolisati, koristiti kamere za vizuelno praćenje ili čak pristupiti RPI uređaju putem SSH-a”, upozorili su istraživači.
“Da li je ovo već bilo zloupotrijebljeno ili ne, u ovom slučaju nije važno. Sama prisutnost ove usluge, a da korisnik o tome nije obaviješten, nije dobra praksa i može se smatrati malicioznom.”
“Odluka da se omogući ovakva funkcionalnost uvijek treba da ostane na korisniku, a ne na proizvođaču”, napisali su Makris i Finisterre u svom izvještaju.
Ovaj uređaj, koji se u Sjedinjenim Američkim Državama prodaje za manje od 4.000 dolara, takođe sadrži ostatke starijeg, neaktivnog kodnog okvira za alternativni tunelski klijent, što sugeriše da su ostaci razvoja ostali u softveru.
Istraživači tvrde da su podaci iz CloudSail API-ja pokazali da je ukupno 1.919 uređaja u nekom trenutku bilo povezano s ovom uslugom, iako su trenutno aktivna samo dva.
“Koristeći naš sopstveni alat za upravljanje tunelima, uspjeli smo kreirati tunel ka bilo kojem aktivnom klijentu”, objasnili su istraživači, napominjući da su na taj način dobili direktan pristup web interfejsu robota i prenosima uživo s kamera, bez potrebe za unosom pristupnih podataka.
Prema izvještaju nakon incidenta, robotski psi se takođe isporučuju sa podrazumijevanim SSH akreditivima. Ako korisnici ne promijene ove akreditive, napadači mogu dobiti pristup osnovnom Raspberry Pi sistemu, otvarajući mogućnost bočnog kretanja unutar lokalnih mreža.
Otkriće ove neudokumentovane tunelske usluge, implementirane bez obavještenja ili saglasnosti korisnika, predstavlja ozbiljan bezbjednosni rizik, upozoravaju istraživači, ističući potencijal za daljinsku eksploataciju u osjetljivim okruženjima gdje se ovi robotski psi mogu koristiti.
Izvještaj takođe postavlja pitanja o mogućnosti postojanja sličnih zadnjih vrata u drugim Unitree proizvodima, uključujući novije modele poput Go2 ili humanoidnih robota ove kompanije.
Istraživači ističu da ovo otkriće otvara mnoga pitanja o namjerama kompanije. “Da li je Unitree želio da ovu funkcionalnost omogući samo za Kinu? Da li su planirali pokretanje servisa za daljinsku kontrolu za javnost, ali nikada nisu sproveli plan? Ako je bila namijenjena samo Kini, zašto su svi robotski psi širom svijeta automatski uključeni u tunelsku uslugu? Da li je ovo namjerno ili rezultat nemara? Da li je ova nedovršena stranica za plaćanje tunela samo izgovor u slučaju da neko primijeti da je tunelski klijent unaprijed instaliran na psima?”
“Snažno savjetujemo svima koji posjeduju ovakvog robota da ga trajno isključe sa mreže i da pregledaju sve dostupne evidencije kako bi provjerili da li je njihova mreža bila kompromitovana”, zaključuje istraživački tim.
Izvor: SecurityWeek
